Upload
others
View
9
Download
0
Embed Size (px)
Citation preview
1 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
Marzo
2018
Cliente
Eduardo Parraguez
khipu
httpsnivel4com
+56 2 2248 1368
Av Providencia 1208 Of1204
Santiago Chile
INFORME TEacuteCNICO
Anaacutelisis de traacutefico dedatos aplicacioacutenkhipu
2 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
1 Control de versiones
El siguiente cuadro muestra el historial de cambios sobre el presente documento
Fecha Autor Versioacuten Comentarios
05-03-2018 Guillermo Zabra 10 Creacioacuten del documento
08-03-2018 Kevin Moumlller 20 Confeccioacuten final del documento
3 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
Tabla de contenido
1 Control de versiones2
2 Introduccioacuten5
3 Objetivo6
4 Metodologiacutea6
5 Aacutembito8
6 Anaacutelisis de traacutefico de datos861 Traacutefico TLS (seguro) entre el terminal de pagos y Banco BCI9
62 Traacutefico TLS (seguro) entre el terminal de pagos y Banco Santander9
63 Traacutefico TLS (seguro) entre el terminal de pagos y Banco Scotiabank9
64 Traacutefico DNS10
65 Traacutefico HTTP10
66 Otro Traacutefico10
67 Anaacutelisis del terminal de pagos11
671 Android11
7 Anaacutelisis SSL1271 khipucom ndash 50228918 puerto 44312
72 Referencias13
8 Ethical Hacking Mobile1581 Procesos automatizados y verificacioacuten manual15
82 Anaacutelisis APK16
821 URLs detectadas16
4 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
822 Direcciones IPs detectadas16
823 Emails detectados17
824 URL detectadas17
825 Direcciones IPs detectadas17
826 Direcciones de correo detectados17
83 Anaacutelisis de Malware 17
9 Vulnerabilidades declaradas21
10 Anexos22
5 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
2 Introduccioacuten
La aplicacioacuten khipu permite a personas y empresas pagar y cobrar usando suscuentas corrientes o cuentas vista del banco de manera faacutecil y segura
El terminal de pago de khipu es un navegador web especializado en pagos por loque valida el correcto uso de las paacuteginas de los bancos forma parte de un sistemaque genera comprobantes de pago firmados electroacutenicamente es reconocido porlos principales antivirus del mundo y se instala desde fuentes oficiales de cadaplataforma
Adicionalmente khipu no almacena ni enviacutea claves u contrasentildeas a sus servidores oa terceros
El anaacutelisis consiste en el monitoreo y anaacutelisis de todo el traacutefico que genera laaplicacioacuten para las distintas plataformas con el fin de detectar conexionessospechosas
Esta revisioacuten incluye las versiones del terminal de pagos disponible para WindowsOSX Linux iOS y Android
6 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
3 Objetivo
El presente anaacutelisis se realiza mensualmente en un diacutea y hora definida por Nivel 4sin que khipu conozca esta informacioacuten de antemano y tiene por objetivo certificarque khipu no recibe las claves bancarias de sus usuarios ni las comparte conterceros
Adicionalmente se realiza un Ethical Hacking a los terminales de pago moacuteviles enIOS y Android
4 Metodologiacutea
La metodologiacutea utilizada para la realizacioacuten de este anaacutelisis de traacutefico de red sebasa en la utilizacioacuten de un equipo que captura este traacutefico entre el terminal depagos y los bancos de acuerdo al diagrama a continuacioacuten
7 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
Esta u otras metodologiacuteas pueden ser realizadas por cualquier organizacioacuten opersona natural que asiacute lo requiera
8 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
5 Aacutembito
Para el actual periodo se registraron cambios para las aplicaciones de Android y enel caso de iOS durante este periodo solo fue posible ver un cambio en su HASH
Plataforma Versioacuten SHA256SUM
Android 663108f86f67118ed597440dd7306f250c0e61a4349f823b4b5aae5b533be17935b2
iOS 6221fab5d1b4b5a1de2003e8a4b2a63e4c760c45b9a82398ae2238f4a7d65e70e24
Linux i386 11719221f5533662c3cabce75ecc9d6fdf9632ffb189941533f4992ef0ed8aaf82e6b1b1
Linux x64 117192219321ae02910a9dfcd8801ca24c11a43e707a62e8b579bcb4a10d79e0e77c908f
OSX 11719221637f66c0b5c4d04f2291ffc71ee85643980ee3e1e6c171f1caeb3430ff16a577
Windows 11719221e610e91976939e06ee53797db22f97f584c3063ae311ab8fab68a5f81faf071e
6 Anaacutelisis de traacutefico de datos
Todo el traacutefico analizado entre el terminal de pagos y los bancos se establecioacutemediante un canal seguro de comunicacioacuten Finalmente el resto del traacuteficocorresponde a consultas DNS y traacutefico propio de una red local como NTP NETBIOSARP entre otros
9 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
En los siguientes puntos se detalla el traacutefico detectado durante el uso de laaplicacioacuten evidenciando que las transacciones se realizan de forma segura y no sealmacenan datos de usuario como por ejemplo claves del banco
61 Traacutefico TLS (seguro) entre el terminal de pagos y Banco BCI
62 Traacutefico TLS (seguro) entre el terminal de pagos y Banco Santander
63 Traacutefico TLS (seguro) entre el terminal de pagos y BancoScotiabank
10 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
64 Traacutefico DNS
65 Traacutefico HTTP
Durante este periodo no se fue posible detectar traacutefico HTTP
66 Otro Traacutefico
11 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
67 Anaacutelisis del terminal de pagos
Como se puede ver en las siguientes tablas el traacutefico que se genera al utilizar laaplicacioacuten de khipu solo se realiza con servidores confiables mediante canalesseguros
671AndroidOrigen Destino Tipo de Traacutefico Descripcioacuten
1921681199 50228918 TLSv12 Khipu
1921681199 104161314 TLSv12 Banco BCI
1921681199 961722212 TLSv12 Banco Santander
1921681199 96172471 TLSv12 Banco Scotiabank
12 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
7 Anaacutelisis SSL
El siguiente anaacutelisis tiene como objetivo determinar el nivel de seguridad en laimplementacioacuten de SSLTLS se realizaraacuten pruebas para determinar si se veafectado por las vulnerabilidades conocidas hasta el momento
71 khipucom ndash 50228918 puerto 443
Vulnerabilidad Identificador Estado Observaciones
Heartbleed CVE-2014-0160 No vulnerable
CCS CVE-2014-0224 No vulnerable
ROBOT CVE-2017-17382 No vulnerable
Secure Renegotiation CVE-2009-3555 No vulnerable
Secure Client-InitiatedRenegotiation
CVE-2011-1473 No vulnerable
CRIME CVE-2012-4929 No vulnerable
BREACH CVE-2013-3587 No vulnerable
POODLE CVE-2014-3566 No vulnerable
TLS_FALLBACK_SCSV RFC 7507 No vulnerable
SWEET32 CVE-2016-2183 No vulnerable
FREAK CVE-2015-0204 No vulnerable
DROWN CVE-2016-0703 No vulnerable
LOGJAM CVE-2015-4000 No vulnerable
13 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
BEAST CVE-2011-3389 Vulnerable
LUCKY13 CVE-2013-0169 Vulnerable
RC4CVE-2013-2566CVE-2015-2808
No vulnerable
Se detectaron 2 vulnerabilidades en la implementacioacuten de SSLTLS del sitiokhipucom las que afectan la confidencialidad de la informacioacuten sin embargo estasvulnerabilidades tienen un alto grado de dificultad de explotacioacuten y se requierencondiciones especiales para su correcta explotacioacuten
72 Referencias
Nombre Link de referencia
Heartbleed httpscvemitreorgcgi-bincvenamecginame=CVE-2014-0160
ROBOT httpsrobotattackorg
BREACH httpbreachattackcom
POODLE httpscvemitreorgcgi-bincvenamecginame=CVE-2009-3555
FREAK httpscvemitreorgcgi-bincvenamecginame=CVE-2015-0204
Logjam httpscvemitreorgcgi-bincvenamecginame=CVE-2015-4000
BEAST httpscvemitreorgcgi-bincvenamecginame=CVE-2011-3389
RC4 httpscvemitreorgcgi-bincvenamecginame=CVE-2013-2566
SLOTH httpcvemitreorgcgi-bincvenamecginame=CVE-2015-7575
DROWN httpscvemitreorgcgi-bincvenamecginame=CVE-2016-0800
PaddingOracle
httpscvemitreorgcgi-bincvenamecginame=CVE-2016-2107
14 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
SWEET32 httpscvemitreorgcgi-bincvenamecginame=CVE-2016-2183
LUCKY13 httpscvemitreorgcgi-bincvenamecginame=CVE-2013-0169
15 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
8 Ethical Hacking Mobile
81 Procesos automatizados y verificacioacuten manual
Desempaquetado
Decompilacioacuten
Anaacutelisis de integridad
Anaacutelisis de metadatos
Anaacutelisis de strings
Buacutesqueda con expresiones regulares
Anaacutelisis en VirusTotal (malware)
Anaacutelisis de Package Se analiza de forma estaacutetica el paquete compilado para losdistintos sistemas operativos En caso de Android se analiza el archivo APK y en elcaso de iOS (para iPhone) el archivo IPA Estos paquetes son sometidos a distintostipos de anaacutelisis que verifican su integridad y seguridad
Ingenieriacutea Reversa Durante este proceso las aplicaciones son decompiladas con elfin de realizar un anaacutelisis de coacutedigo Este tipo de anaacutelisis permite detectar malaspraacutecticas de desarrollo fugas de informacioacuten mediante el coacutedigo fuente comodirecciones IP usuarios claves Ademaacutes permite conocer internamente losdistintos componentes que utiliza la aplicacioacuten
16 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
82 Anaacutelisis APK
El resultado del anaacutelisis para la aplicacioacuten moacutevil es el siguiente
Nombre comkhipuandroid-6631apk
SHA25608f86f67118ed597440dd7306f250c0e61a4349f823b4b5aae5b533be17935b2
Tamantildeo 676 MB
Tipo Android
URLs Interesantes 6
IPs encontradas 0
Emails encontrados 0
821 URLs detectadas
1 httpskhipucompaymentsimplified
2 httpskhipucompaymentshow
3 httpskhipucompaymentend
4 httpskhipucomcerebro
5 httpskhipucomapp20automaton
6 httpskhipicomzendesksupport
La cuarta URL tiene un formulario de autenticacioacuten al cual se le realizoacute un ataque defuerza bruta con un diccionario simple de 2000000 de palabras sin embargo no selogroacute obtener ninguna credencial para acceder al sistema Se recomienda agregarun meacutetodo de proteccioacuten para prevenir ataques de fuerza bruta sobre el formulario
17 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
822Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
823 Emails detectados
No se encontraron direcciones de correo electroacutenico en el anaacutelisis
824URL detectadas
No se encontraron URL en el anaacutelisis
825 Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
826 Direcciones de correo detectados
No se encontraron direcciones de correo en el anaacutelisis
83 Anaacutelisis de Malware
Se hizo un anaacutelisis utilizando distintos motores de antivirus lo que permite ladeteccioacuten de virus gusanos troyanos y todo tipo de malware que contengan losarchivos ipa y apk correspondiente a iOS y Android respectivamente En esteperiodo solo analizamos la apk de android debido a su cambio de versioacuten
Android
Motor Estado
Ad-Aware
AegisLab
AhnLab-V3
Alibaba
18 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
ALYac
Antiy-AVL
Arcabit
Avast
Avast Mobile Security
AVG
Avira
AVware
Baidu
BitDefender
Bkav
CAT-QuickHeal
ClamAV
CMC
Comodo
Cyren
Emsisoft
eScan
ESET-NOD32
19 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
F-Prot
F-Secure
Fortinet
GData
Ikarus
Jiangmin
K7AntiVirus
K7GW
Kaspersky
Kingsoft
Malwarebytes
MAX
McAfee
McAfee-GW-Edition
Microsoft
NANO-Antivirus
nProtect
Panda
Qihoo-360
20 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
Rising
Sophos AV
SUPERAntiSpyware
Symantec
Symantec Mobile Insight
Tencent
TheHacker
TrendMicro
TrendMicro-HouseCall
Trustlook
VBA32
VIPRE
ViRobot
Webroot
WhiteArmor
Yandex
Zillya
ZoneAlarm
Zoner
21 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
9 Vulnerabilidades declaradas
A continuacioacuten se listan las vulnerabilidades declaradas por terceros que puedancomprometer la seguridad de la aplicacioacuten y khipucom
En este periodo de anaacutelisis se encontraron 2 vulnerabilidades que afectan a laimplementacioacuten de SSLTLS la primera de ellas es BEAST (CVE-2011-3389) estavulnerabilidad afecta a la versioacuten 1 de TLS esta vulnerabilidad se encuentramitigada al soportar la versioacuten 11 y 12 de TLS para corregirla correctamente sedebe desactivar el soporte para TLS 1
La segunda vulnerabilidad es LUCKY13 (CVE-2013-0169) esta afecta a lasimplementaciones de TLS que utilicen el modo de cifrado CBC (Cipher-Block-Chaining) por lo cual la mitigacioacuten es deshabilitar los cifrados que utilicen estosmeacutetodos y siempre tener la uacuteltima versioacuten estable de OpenSSL
Referencias
httpswwwopensslorgblogblog20160824sweet32
httpwwwisgrhulacuktls
httpsraymiiorgstutorialsStrong_SSL_Security_On_nginxhtml
httpscipherlist
22 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
10 Anexos
Archivo SHA256SUM
1 khipuandroid05032018cap 59cd2070041f5f17957cb0538bc011fbeda128c4bdbacd51eb63e9e0f1929703
2 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
1 Control de versiones
El siguiente cuadro muestra el historial de cambios sobre el presente documento
Fecha Autor Versioacuten Comentarios
05-03-2018 Guillermo Zabra 10 Creacioacuten del documento
08-03-2018 Kevin Moumlller 20 Confeccioacuten final del documento
3 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
Tabla de contenido
1 Control de versiones2
2 Introduccioacuten5
3 Objetivo6
4 Metodologiacutea6
5 Aacutembito8
6 Anaacutelisis de traacutefico de datos861 Traacutefico TLS (seguro) entre el terminal de pagos y Banco BCI9
62 Traacutefico TLS (seguro) entre el terminal de pagos y Banco Santander9
63 Traacutefico TLS (seguro) entre el terminal de pagos y Banco Scotiabank9
64 Traacutefico DNS10
65 Traacutefico HTTP10
66 Otro Traacutefico10
67 Anaacutelisis del terminal de pagos11
671 Android11
7 Anaacutelisis SSL1271 khipucom ndash 50228918 puerto 44312
72 Referencias13
8 Ethical Hacking Mobile1581 Procesos automatizados y verificacioacuten manual15
82 Anaacutelisis APK16
821 URLs detectadas16
4 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
822 Direcciones IPs detectadas16
823 Emails detectados17
824 URL detectadas17
825 Direcciones IPs detectadas17
826 Direcciones de correo detectados17
83 Anaacutelisis de Malware 17
9 Vulnerabilidades declaradas21
10 Anexos22
5 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
2 Introduccioacuten
La aplicacioacuten khipu permite a personas y empresas pagar y cobrar usando suscuentas corrientes o cuentas vista del banco de manera faacutecil y segura
El terminal de pago de khipu es un navegador web especializado en pagos por loque valida el correcto uso de las paacuteginas de los bancos forma parte de un sistemaque genera comprobantes de pago firmados electroacutenicamente es reconocido porlos principales antivirus del mundo y se instala desde fuentes oficiales de cadaplataforma
Adicionalmente khipu no almacena ni enviacutea claves u contrasentildeas a sus servidores oa terceros
El anaacutelisis consiste en el monitoreo y anaacutelisis de todo el traacutefico que genera laaplicacioacuten para las distintas plataformas con el fin de detectar conexionessospechosas
Esta revisioacuten incluye las versiones del terminal de pagos disponible para WindowsOSX Linux iOS y Android
6 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
3 Objetivo
El presente anaacutelisis se realiza mensualmente en un diacutea y hora definida por Nivel 4sin que khipu conozca esta informacioacuten de antemano y tiene por objetivo certificarque khipu no recibe las claves bancarias de sus usuarios ni las comparte conterceros
Adicionalmente se realiza un Ethical Hacking a los terminales de pago moacuteviles enIOS y Android
4 Metodologiacutea
La metodologiacutea utilizada para la realizacioacuten de este anaacutelisis de traacutefico de red sebasa en la utilizacioacuten de un equipo que captura este traacutefico entre el terminal depagos y los bancos de acuerdo al diagrama a continuacioacuten
7 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
Esta u otras metodologiacuteas pueden ser realizadas por cualquier organizacioacuten opersona natural que asiacute lo requiera
8 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
5 Aacutembito
Para el actual periodo se registraron cambios para las aplicaciones de Android y enel caso de iOS durante este periodo solo fue posible ver un cambio en su HASH
Plataforma Versioacuten SHA256SUM
Android 663108f86f67118ed597440dd7306f250c0e61a4349f823b4b5aae5b533be17935b2
iOS 6221fab5d1b4b5a1de2003e8a4b2a63e4c760c45b9a82398ae2238f4a7d65e70e24
Linux i386 11719221f5533662c3cabce75ecc9d6fdf9632ffb189941533f4992ef0ed8aaf82e6b1b1
Linux x64 117192219321ae02910a9dfcd8801ca24c11a43e707a62e8b579bcb4a10d79e0e77c908f
OSX 11719221637f66c0b5c4d04f2291ffc71ee85643980ee3e1e6c171f1caeb3430ff16a577
Windows 11719221e610e91976939e06ee53797db22f97f584c3063ae311ab8fab68a5f81faf071e
6 Anaacutelisis de traacutefico de datos
Todo el traacutefico analizado entre el terminal de pagos y los bancos se establecioacutemediante un canal seguro de comunicacioacuten Finalmente el resto del traacuteficocorresponde a consultas DNS y traacutefico propio de una red local como NTP NETBIOSARP entre otros
9 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
En los siguientes puntos se detalla el traacutefico detectado durante el uso de laaplicacioacuten evidenciando que las transacciones se realizan de forma segura y no sealmacenan datos de usuario como por ejemplo claves del banco
61 Traacutefico TLS (seguro) entre el terminal de pagos y Banco BCI
62 Traacutefico TLS (seguro) entre el terminal de pagos y Banco Santander
63 Traacutefico TLS (seguro) entre el terminal de pagos y BancoScotiabank
10 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
64 Traacutefico DNS
65 Traacutefico HTTP
Durante este periodo no se fue posible detectar traacutefico HTTP
66 Otro Traacutefico
11 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
67 Anaacutelisis del terminal de pagos
Como se puede ver en las siguientes tablas el traacutefico que se genera al utilizar laaplicacioacuten de khipu solo se realiza con servidores confiables mediante canalesseguros
671AndroidOrigen Destino Tipo de Traacutefico Descripcioacuten
1921681199 50228918 TLSv12 Khipu
1921681199 104161314 TLSv12 Banco BCI
1921681199 961722212 TLSv12 Banco Santander
1921681199 96172471 TLSv12 Banco Scotiabank
12 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
7 Anaacutelisis SSL
El siguiente anaacutelisis tiene como objetivo determinar el nivel de seguridad en laimplementacioacuten de SSLTLS se realizaraacuten pruebas para determinar si se veafectado por las vulnerabilidades conocidas hasta el momento
71 khipucom ndash 50228918 puerto 443
Vulnerabilidad Identificador Estado Observaciones
Heartbleed CVE-2014-0160 No vulnerable
CCS CVE-2014-0224 No vulnerable
ROBOT CVE-2017-17382 No vulnerable
Secure Renegotiation CVE-2009-3555 No vulnerable
Secure Client-InitiatedRenegotiation
CVE-2011-1473 No vulnerable
CRIME CVE-2012-4929 No vulnerable
BREACH CVE-2013-3587 No vulnerable
POODLE CVE-2014-3566 No vulnerable
TLS_FALLBACK_SCSV RFC 7507 No vulnerable
SWEET32 CVE-2016-2183 No vulnerable
FREAK CVE-2015-0204 No vulnerable
DROWN CVE-2016-0703 No vulnerable
LOGJAM CVE-2015-4000 No vulnerable
13 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
BEAST CVE-2011-3389 Vulnerable
LUCKY13 CVE-2013-0169 Vulnerable
RC4CVE-2013-2566CVE-2015-2808
No vulnerable
Se detectaron 2 vulnerabilidades en la implementacioacuten de SSLTLS del sitiokhipucom las que afectan la confidencialidad de la informacioacuten sin embargo estasvulnerabilidades tienen un alto grado de dificultad de explotacioacuten y se requierencondiciones especiales para su correcta explotacioacuten
72 Referencias
Nombre Link de referencia
Heartbleed httpscvemitreorgcgi-bincvenamecginame=CVE-2014-0160
ROBOT httpsrobotattackorg
BREACH httpbreachattackcom
POODLE httpscvemitreorgcgi-bincvenamecginame=CVE-2009-3555
FREAK httpscvemitreorgcgi-bincvenamecginame=CVE-2015-0204
Logjam httpscvemitreorgcgi-bincvenamecginame=CVE-2015-4000
BEAST httpscvemitreorgcgi-bincvenamecginame=CVE-2011-3389
RC4 httpscvemitreorgcgi-bincvenamecginame=CVE-2013-2566
SLOTH httpcvemitreorgcgi-bincvenamecginame=CVE-2015-7575
DROWN httpscvemitreorgcgi-bincvenamecginame=CVE-2016-0800
PaddingOracle
httpscvemitreorgcgi-bincvenamecginame=CVE-2016-2107
14 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
SWEET32 httpscvemitreorgcgi-bincvenamecginame=CVE-2016-2183
LUCKY13 httpscvemitreorgcgi-bincvenamecginame=CVE-2013-0169
15 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
8 Ethical Hacking Mobile
81 Procesos automatizados y verificacioacuten manual
Desempaquetado
Decompilacioacuten
Anaacutelisis de integridad
Anaacutelisis de metadatos
Anaacutelisis de strings
Buacutesqueda con expresiones regulares
Anaacutelisis en VirusTotal (malware)
Anaacutelisis de Package Se analiza de forma estaacutetica el paquete compilado para losdistintos sistemas operativos En caso de Android se analiza el archivo APK y en elcaso de iOS (para iPhone) el archivo IPA Estos paquetes son sometidos a distintostipos de anaacutelisis que verifican su integridad y seguridad
Ingenieriacutea Reversa Durante este proceso las aplicaciones son decompiladas con elfin de realizar un anaacutelisis de coacutedigo Este tipo de anaacutelisis permite detectar malaspraacutecticas de desarrollo fugas de informacioacuten mediante el coacutedigo fuente comodirecciones IP usuarios claves Ademaacutes permite conocer internamente losdistintos componentes que utiliza la aplicacioacuten
16 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
82 Anaacutelisis APK
El resultado del anaacutelisis para la aplicacioacuten moacutevil es el siguiente
Nombre comkhipuandroid-6631apk
SHA25608f86f67118ed597440dd7306f250c0e61a4349f823b4b5aae5b533be17935b2
Tamantildeo 676 MB
Tipo Android
URLs Interesantes 6
IPs encontradas 0
Emails encontrados 0
821 URLs detectadas
1 httpskhipucompaymentsimplified
2 httpskhipucompaymentshow
3 httpskhipucompaymentend
4 httpskhipucomcerebro
5 httpskhipucomapp20automaton
6 httpskhipicomzendesksupport
La cuarta URL tiene un formulario de autenticacioacuten al cual se le realizoacute un ataque defuerza bruta con un diccionario simple de 2000000 de palabras sin embargo no selogroacute obtener ninguna credencial para acceder al sistema Se recomienda agregarun meacutetodo de proteccioacuten para prevenir ataques de fuerza bruta sobre el formulario
17 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
822Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
823 Emails detectados
No se encontraron direcciones de correo electroacutenico en el anaacutelisis
824URL detectadas
No se encontraron URL en el anaacutelisis
825 Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
826 Direcciones de correo detectados
No se encontraron direcciones de correo en el anaacutelisis
83 Anaacutelisis de Malware
Se hizo un anaacutelisis utilizando distintos motores de antivirus lo que permite ladeteccioacuten de virus gusanos troyanos y todo tipo de malware que contengan losarchivos ipa y apk correspondiente a iOS y Android respectivamente En esteperiodo solo analizamos la apk de android debido a su cambio de versioacuten
Android
Motor Estado
Ad-Aware
AegisLab
AhnLab-V3
Alibaba
18 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
ALYac
Antiy-AVL
Arcabit
Avast
Avast Mobile Security
AVG
Avira
AVware
Baidu
BitDefender
Bkav
CAT-QuickHeal
ClamAV
CMC
Comodo
Cyren
Emsisoft
eScan
ESET-NOD32
19 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
F-Prot
F-Secure
Fortinet
GData
Ikarus
Jiangmin
K7AntiVirus
K7GW
Kaspersky
Kingsoft
Malwarebytes
MAX
McAfee
McAfee-GW-Edition
Microsoft
NANO-Antivirus
nProtect
Panda
Qihoo-360
20 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
Rising
Sophos AV
SUPERAntiSpyware
Symantec
Symantec Mobile Insight
Tencent
TheHacker
TrendMicro
TrendMicro-HouseCall
Trustlook
VBA32
VIPRE
ViRobot
Webroot
WhiteArmor
Yandex
Zillya
ZoneAlarm
Zoner
21 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
9 Vulnerabilidades declaradas
A continuacioacuten se listan las vulnerabilidades declaradas por terceros que puedancomprometer la seguridad de la aplicacioacuten y khipucom
En este periodo de anaacutelisis se encontraron 2 vulnerabilidades que afectan a laimplementacioacuten de SSLTLS la primera de ellas es BEAST (CVE-2011-3389) estavulnerabilidad afecta a la versioacuten 1 de TLS esta vulnerabilidad se encuentramitigada al soportar la versioacuten 11 y 12 de TLS para corregirla correctamente sedebe desactivar el soporte para TLS 1
La segunda vulnerabilidad es LUCKY13 (CVE-2013-0169) esta afecta a lasimplementaciones de TLS que utilicen el modo de cifrado CBC (Cipher-Block-Chaining) por lo cual la mitigacioacuten es deshabilitar los cifrados que utilicen estosmeacutetodos y siempre tener la uacuteltima versioacuten estable de OpenSSL
Referencias
httpswwwopensslorgblogblog20160824sweet32
httpwwwisgrhulacuktls
httpsraymiiorgstutorialsStrong_SSL_Security_On_nginxhtml
httpscipherlist
22 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
10 Anexos
Archivo SHA256SUM
1 khipuandroid05032018cap 59cd2070041f5f17957cb0538bc011fbeda128c4bdbacd51eb63e9e0f1929703
3 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
Tabla de contenido
1 Control de versiones2
2 Introduccioacuten5
3 Objetivo6
4 Metodologiacutea6
5 Aacutembito8
6 Anaacutelisis de traacutefico de datos861 Traacutefico TLS (seguro) entre el terminal de pagos y Banco BCI9
62 Traacutefico TLS (seguro) entre el terminal de pagos y Banco Santander9
63 Traacutefico TLS (seguro) entre el terminal de pagos y Banco Scotiabank9
64 Traacutefico DNS10
65 Traacutefico HTTP10
66 Otro Traacutefico10
67 Anaacutelisis del terminal de pagos11
671 Android11
7 Anaacutelisis SSL1271 khipucom ndash 50228918 puerto 44312
72 Referencias13
8 Ethical Hacking Mobile1581 Procesos automatizados y verificacioacuten manual15
82 Anaacutelisis APK16
821 URLs detectadas16
4 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
822 Direcciones IPs detectadas16
823 Emails detectados17
824 URL detectadas17
825 Direcciones IPs detectadas17
826 Direcciones de correo detectados17
83 Anaacutelisis de Malware 17
9 Vulnerabilidades declaradas21
10 Anexos22
5 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
2 Introduccioacuten
La aplicacioacuten khipu permite a personas y empresas pagar y cobrar usando suscuentas corrientes o cuentas vista del banco de manera faacutecil y segura
El terminal de pago de khipu es un navegador web especializado en pagos por loque valida el correcto uso de las paacuteginas de los bancos forma parte de un sistemaque genera comprobantes de pago firmados electroacutenicamente es reconocido porlos principales antivirus del mundo y se instala desde fuentes oficiales de cadaplataforma
Adicionalmente khipu no almacena ni enviacutea claves u contrasentildeas a sus servidores oa terceros
El anaacutelisis consiste en el monitoreo y anaacutelisis de todo el traacutefico que genera laaplicacioacuten para las distintas plataformas con el fin de detectar conexionessospechosas
Esta revisioacuten incluye las versiones del terminal de pagos disponible para WindowsOSX Linux iOS y Android
6 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
3 Objetivo
El presente anaacutelisis se realiza mensualmente en un diacutea y hora definida por Nivel 4sin que khipu conozca esta informacioacuten de antemano y tiene por objetivo certificarque khipu no recibe las claves bancarias de sus usuarios ni las comparte conterceros
Adicionalmente se realiza un Ethical Hacking a los terminales de pago moacuteviles enIOS y Android
4 Metodologiacutea
La metodologiacutea utilizada para la realizacioacuten de este anaacutelisis de traacutefico de red sebasa en la utilizacioacuten de un equipo que captura este traacutefico entre el terminal depagos y los bancos de acuerdo al diagrama a continuacioacuten
7 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
Esta u otras metodologiacuteas pueden ser realizadas por cualquier organizacioacuten opersona natural que asiacute lo requiera
8 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
5 Aacutembito
Para el actual periodo se registraron cambios para las aplicaciones de Android y enel caso de iOS durante este periodo solo fue posible ver un cambio en su HASH
Plataforma Versioacuten SHA256SUM
Android 663108f86f67118ed597440dd7306f250c0e61a4349f823b4b5aae5b533be17935b2
iOS 6221fab5d1b4b5a1de2003e8a4b2a63e4c760c45b9a82398ae2238f4a7d65e70e24
Linux i386 11719221f5533662c3cabce75ecc9d6fdf9632ffb189941533f4992ef0ed8aaf82e6b1b1
Linux x64 117192219321ae02910a9dfcd8801ca24c11a43e707a62e8b579bcb4a10d79e0e77c908f
OSX 11719221637f66c0b5c4d04f2291ffc71ee85643980ee3e1e6c171f1caeb3430ff16a577
Windows 11719221e610e91976939e06ee53797db22f97f584c3063ae311ab8fab68a5f81faf071e
6 Anaacutelisis de traacutefico de datos
Todo el traacutefico analizado entre el terminal de pagos y los bancos se establecioacutemediante un canal seguro de comunicacioacuten Finalmente el resto del traacuteficocorresponde a consultas DNS y traacutefico propio de una red local como NTP NETBIOSARP entre otros
9 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
En los siguientes puntos se detalla el traacutefico detectado durante el uso de laaplicacioacuten evidenciando que las transacciones se realizan de forma segura y no sealmacenan datos de usuario como por ejemplo claves del banco
61 Traacutefico TLS (seguro) entre el terminal de pagos y Banco BCI
62 Traacutefico TLS (seguro) entre el terminal de pagos y Banco Santander
63 Traacutefico TLS (seguro) entre el terminal de pagos y BancoScotiabank
10 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
64 Traacutefico DNS
65 Traacutefico HTTP
Durante este periodo no se fue posible detectar traacutefico HTTP
66 Otro Traacutefico
11 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
67 Anaacutelisis del terminal de pagos
Como se puede ver en las siguientes tablas el traacutefico que se genera al utilizar laaplicacioacuten de khipu solo se realiza con servidores confiables mediante canalesseguros
671AndroidOrigen Destino Tipo de Traacutefico Descripcioacuten
1921681199 50228918 TLSv12 Khipu
1921681199 104161314 TLSv12 Banco BCI
1921681199 961722212 TLSv12 Banco Santander
1921681199 96172471 TLSv12 Banco Scotiabank
12 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
7 Anaacutelisis SSL
El siguiente anaacutelisis tiene como objetivo determinar el nivel de seguridad en laimplementacioacuten de SSLTLS se realizaraacuten pruebas para determinar si se veafectado por las vulnerabilidades conocidas hasta el momento
71 khipucom ndash 50228918 puerto 443
Vulnerabilidad Identificador Estado Observaciones
Heartbleed CVE-2014-0160 No vulnerable
CCS CVE-2014-0224 No vulnerable
ROBOT CVE-2017-17382 No vulnerable
Secure Renegotiation CVE-2009-3555 No vulnerable
Secure Client-InitiatedRenegotiation
CVE-2011-1473 No vulnerable
CRIME CVE-2012-4929 No vulnerable
BREACH CVE-2013-3587 No vulnerable
POODLE CVE-2014-3566 No vulnerable
TLS_FALLBACK_SCSV RFC 7507 No vulnerable
SWEET32 CVE-2016-2183 No vulnerable
FREAK CVE-2015-0204 No vulnerable
DROWN CVE-2016-0703 No vulnerable
LOGJAM CVE-2015-4000 No vulnerable
13 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
BEAST CVE-2011-3389 Vulnerable
LUCKY13 CVE-2013-0169 Vulnerable
RC4CVE-2013-2566CVE-2015-2808
No vulnerable
Se detectaron 2 vulnerabilidades en la implementacioacuten de SSLTLS del sitiokhipucom las que afectan la confidencialidad de la informacioacuten sin embargo estasvulnerabilidades tienen un alto grado de dificultad de explotacioacuten y se requierencondiciones especiales para su correcta explotacioacuten
72 Referencias
Nombre Link de referencia
Heartbleed httpscvemitreorgcgi-bincvenamecginame=CVE-2014-0160
ROBOT httpsrobotattackorg
BREACH httpbreachattackcom
POODLE httpscvemitreorgcgi-bincvenamecginame=CVE-2009-3555
FREAK httpscvemitreorgcgi-bincvenamecginame=CVE-2015-0204
Logjam httpscvemitreorgcgi-bincvenamecginame=CVE-2015-4000
BEAST httpscvemitreorgcgi-bincvenamecginame=CVE-2011-3389
RC4 httpscvemitreorgcgi-bincvenamecginame=CVE-2013-2566
SLOTH httpcvemitreorgcgi-bincvenamecginame=CVE-2015-7575
DROWN httpscvemitreorgcgi-bincvenamecginame=CVE-2016-0800
PaddingOracle
httpscvemitreorgcgi-bincvenamecginame=CVE-2016-2107
14 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
SWEET32 httpscvemitreorgcgi-bincvenamecginame=CVE-2016-2183
LUCKY13 httpscvemitreorgcgi-bincvenamecginame=CVE-2013-0169
15 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
8 Ethical Hacking Mobile
81 Procesos automatizados y verificacioacuten manual
Desempaquetado
Decompilacioacuten
Anaacutelisis de integridad
Anaacutelisis de metadatos
Anaacutelisis de strings
Buacutesqueda con expresiones regulares
Anaacutelisis en VirusTotal (malware)
Anaacutelisis de Package Se analiza de forma estaacutetica el paquete compilado para losdistintos sistemas operativos En caso de Android se analiza el archivo APK y en elcaso de iOS (para iPhone) el archivo IPA Estos paquetes son sometidos a distintostipos de anaacutelisis que verifican su integridad y seguridad
Ingenieriacutea Reversa Durante este proceso las aplicaciones son decompiladas con elfin de realizar un anaacutelisis de coacutedigo Este tipo de anaacutelisis permite detectar malaspraacutecticas de desarrollo fugas de informacioacuten mediante el coacutedigo fuente comodirecciones IP usuarios claves Ademaacutes permite conocer internamente losdistintos componentes que utiliza la aplicacioacuten
16 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
82 Anaacutelisis APK
El resultado del anaacutelisis para la aplicacioacuten moacutevil es el siguiente
Nombre comkhipuandroid-6631apk
SHA25608f86f67118ed597440dd7306f250c0e61a4349f823b4b5aae5b533be17935b2
Tamantildeo 676 MB
Tipo Android
URLs Interesantes 6
IPs encontradas 0
Emails encontrados 0
821 URLs detectadas
1 httpskhipucompaymentsimplified
2 httpskhipucompaymentshow
3 httpskhipucompaymentend
4 httpskhipucomcerebro
5 httpskhipucomapp20automaton
6 httpskhipicomzendesksupport
La cuarta URL tiene un formulario de autenticacioacuten al cual se le realizoacute un ataque defuerza bruta con un diccionario simple de 2000000 de palabras sin embargo no selogroacute obtener ninguna credencial para acceder al sistema Se recomienda agregarun meacutetodo de proteccioacuten para prevenir ataques de fuerza bruta sobre el formulario
17 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
822Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
823 Emails detectados
No se encontraron direcciones de correo electroacutenico en el anaacutelisis
824URL detectadas
No se encontraron URL en el anaacutelisis
825 Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
826 Direcciones de correo detectados
No se encontraron direcciones de correo en el anaacutelisis
83 Anaacutelisis de Malware
Se hizo un anaacutelisis utilizando distintos motores de antivirus lo que permite ladeteccioacuten de virus gusanos troyanos y todo tipo de malware que contengan losarchivos ipa y apk correspondiente a iOS y Android respectivamente En esteperiodo solo analizamos la apk de android debido a su cambio de versioacuten
Android
Motor Estado
Ad-Aware
AegisLab
AhnLab-V3
Alibaba
18 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
ALYac
Antiy-AVL
Arcabit
Avast
Avast Mobile Security
AVG
Avira
AVware
Baidu
BitDefender
Bkav
CAT-QuickHeal
ClamAV
CMC
Comodo
Cyren
Emsisoft
eScan
ESET-NOD32
19 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
F-Prot
F-Secure
Fortinet
GData
Ikarus
Jiangmin
K7AntiVirus
K7GW
Kaspersky
Kingsoft
Malwarebytes
MAX
McAfee
McAfee-GW-Edition
Microsoft
NANO-Antivirus
nProtect
Panda
Qihoo-360
20 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
Rising
Sophos AV
SUPERAntiSpyware
Symantec
Symantec Mobile Insight
Tencent
TheHacker
TrendMicro
TrendMicro-HouseCall
Trustlook
VBA32
VIPRE
ViRobot
Webroot
WhiteArmor
Yandex
Zillya
ZoneAlarm
Zoner
21 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
9 Vulnerabilidades declaradas
A continuacioacuten se listan las vulnerabilidades declaradas por terceros que puedancomprometer la seguridad de la aplicacioacuten y khipucom
En este periodo de anaacutelisis se encontraron 2 vulnerabilidades que afectan a laimplementacioacuten de SSLTLS la primera de ellas es BEAST (CVE-2011-3389) estavulnerabilidad afecta a la versioacuten 1 de TLS esta vulnerabilidad se encuentramitigada al soportar la versioacuten 11 y 12 de TLS para corregirla correctamente sedebe desactivar el soporte para TLS 1
La segunda vulnerabilidad es LUCKY13 (CVE-2013-0169) esta afecta a lasimplementaciones de TLS que utilicen el modo de cifrado CBC (Cipher-Block-Chaining) por lo cual la mitigacioacuten es deshabilitar los cifrados que utilicen estosmeacutetodos y siempre tener la uacuteltima versioacuten estable de OpenSSL
Referencias
httpswwwopensslorgblogblog20160824sweet32
httpwwwisgrhulacuktls
httpsraymiiorgstutorialsStrong_SSL_Security_On_nginxhtml
httpscipherlist
22 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
10 Anexos
Archivo SHA256SUM
1 khipuandroid05032018cap 59cd2070041f5f17957cb0538bc011fbeda128c4bdbacd51eb63e9e0f1929703
4 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
822 Direcciones IPs detectadas16
823 Emails detectados17
824 URL detectadas17
825 Direcciones IPs detectadas17
826 Direcciones de correo detectados17
83 Anaacutelisis de Malware 17
9 Vulnerabilidades declaradas21
10 Anexos22
5 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
2 Introduccioacuten
La aplicacioacuten khipu permite a personas y empresas pagar y cobrar usando suscuentas corrientes o cuentas vista del banco de manera faacutecil y segura
El terminal de pago de khipu es un navegador web especializado en pagos por loque valida el correcto uso de las paacuteginas de los bancos forma parte de un sistemaque genera comprobantes de pago firmados electroacutenicamente es reconocido porlos principales antivirus del mundo y se instala desde fuentes oficiales de cadaplataforma
Adicionalmente khipu no almacena ni enviacutea claves u contrasentildeas a sus servidores oa terceros
El anaacutelisis consiste en el monitoreo y anaacutelisis de todo el traacutefico que genera laaplicacioacuten para las distintas plataformas con el fin de detectar conexionessospechosas
Esta revisioacuten incluye las versiones del terminal de pagos disponible para WindowsOSX Linux iOS y Android
6 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
3 Objetivo
El presente anaacutelisis se realiza mensualmente en un diacutea y hora definida por Nivel 4sin que khipu conozca esta informacioacuten de antemano y tiene por objetivo certificarque khipu no recibe las claves bancarias de sus usuarios ni las comparte conterceros
Adicionalmente se realiza un Ethical Hacking a los terminales de pago moacuteviles enIOS y Android
4 Metodologiacutea
La metodologiacutea utilizada para la realizacioacuten de este anaacutelisis de traacutefico de red sebasa en la utilizacioacuten de un equipo que captura este traacutefico entre el terminal depagos y los bancos de acuerdo al diagrama a continuacioacuten
7 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
Esta u otras metodologiacuteas pueden ser realizadas por cualquier organizacioacuten opersona natural que asiacute lo requiera
8 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
5 Aacutembito
Para el actual periodo se registraron cambios para las aplicaciones de Android y enel caso de iOS durante este periodo solo fue posible ver un cambio en su HASH
Plataforma Versioacuten SHA256SUM
Android 663108f86f67118ed597440dd7306f250c0e61a4349f823b4b5aae5b533be17935b2
iOS 6221fab5d1b4b5a1de2003e8a4b2a63e4c760c45b9a82398ae2238f4a7d65e70e24
Linux i386 11719221f5533662c3cabce75ecc9d6fdf9632ffb189941533f4992ef0ed8aaf82e6b1b1
Linux x64 117192219321ae02910a9dfcd8801ca24c11a43e707a62e8b579bcb4a10d79e0e77c908f
OSX 11719221637f66c0b5c4d04f2291ffc71ee85643980ee3e1e6c171f1caeb3430ff16a577
Windows 11719221e610e91976939e06ee53797db22f97f584c3063ae311ab8fab68a5f81faf071e
6 Anaacutelisis de traacutefico de datos
Todo el traacutefico analizado entre el terminal de pagos y los bancos se establecioacutemediante un canal seguro de comunicacioacuten Finalmente el resto del traacuteficocorresponde a consultas DNS y traacutefico propio de una red local como NTP NETBIOSARP entre otros
9 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
En los siguientes puntos se detalla el traacutefico detectado durante el uso de laaplicacioacuten evidenciando que las transacciones se realizan de forma segura y no sealmacenan datos de usuario como por ejemplo claves del banco
61 Traacutefico TLS (seguro) entre el terminal de pagos y Banco BCI
62 Traacutefico TLS (seguro) entre el terminal de pagos y Banco Santander
63 Traacutefico TLS (seguro) entre el terminal de pagos y BancoScotiabank
10 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
64 Traacutefico DNS
65 Traacutefico HTTP
Durante este periodo no se fue posible detectar traacutefico HTTP
66 Otro Traacutefico
11 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
67 Anaacutelisis del terminal de pagos
Como se puede ver en las siguientes tablas el traacutefico que se genera al utilizar laaplicacioacuten de khipu solo se realiza con servidores confiables mediante canalesseguros
671AndroidOrigen Destino Tipo de Traacutefico Descripcioacuten
1921681199 50228918 TLSv12 Khipu
1921681199 104161314 TLSv12 Banco BCI
1921681199 961722212 TLSv12 Banco Santander
1921681199 96172471 TLSv12 Banco Scotiabank
12 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
7 Anaacutelisis SSL
El siguiente anaacutelisis tiene como objetivo determinar el nivel de seguridad en laimplementacioacuten de SSLTLS se realizaraacuten pruebas para determinar si se veafectado por las vulnerabilidades conocidas hasta el momento
71 khipucom ndash 50228918 puerto 443
Vulnerabilidad Identificador Estado Observaciones
Heartbleed CVE-2014-0160 No vulnerable
CCS CVE-2014-0224 No vulnerable
ROBOT CVE-2017-17382 No vulnerable
Secure Renegotiation CVE-2009-3555 No vulnerable
Secure Client-InitiatedRenegotiation
CVE-2011-1473 No vulnerable
CRIME CVE-2012-4929 No vulnerable
BREACH CVE-2013-3587 No vulnerable
POODLE CVE-2014-3566 No vulnerable
TLS_FALLBACK_SCSV RFC 7507 No vulnerable
SWEET32 CVE-2016-2183 No vulnerable
FREAK CVE-2015-0204 No vulnerable
DROWN CVE-2016-0703 No vulnerable
LOGJAM CVE-2015-4000 No vulnerable
13 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
BEAST CVE-2011-3389 Vulnerable
LUCKY13 CVE-2013-0169 Vulnerable
RC4CVE-2013-2566CVE-2015-2808
No vulnerable
Se detectaron 2 vulnerabilidades en la implementacioacuten de SSLTLS del sitiokhipucom las que afectan la confidencialidad de la informacioacuten sin embargo estasvulnerabilidades tienen un alto grado de dificultad de explotacioacuten y se requierencondiciones especiales para su correcta explotacioacuten
72 Referencias
Nombre Link de referencia
Heartbleed httpscvemitreorgcgi-bincvenamecginame=CVE-2014-0160
ROBOT httpsrobotattackorg
BREACH httpbreachattackcom
POODLE httpscvemitreorgcgi-bincvenamecginame=CVE-2009-3555
FREAK httpscvemitreorgcgi-bincvenamecginame=CVE-2015-0204
Logjam httpscvemitreorgcgi-bincvenamecginame=CVE-2015-4000
BEAST httpscvemitreorgcgi-bincvenamecginame=CVE-2011-3389
RC4 httpscvemitreorgcgi-bincvenamecginame=CVE-2013-2566
SLOTH httpcvemitreorgcgi-bincvenamecginame=CVE-2015-7575
DROWN httpscvemitreorgcgi-bincvenamecginame=CVE-2016-0800
PaddingOracle
httpscvemitreorgcgi-bincvenamecginame=CVE-2016-2107
14 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
SWEET32 httpscvemitreorgcgi-bincvenamecginame=CVE-2016-2183
LUCKY13 httpscvemitreorgcgi-bincvenamecginame=CVE-2013-0169
15 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
8 Ethical Hacking Mobile
81 Procesos automatizados y verificacioacuten manual
Desempaquetado
Decompilacioacuten
Anaacutelisis de integridad
Anaacutelisis de metadatos
Anaacutelisis de strings
Buacutesqueda con expresiones regulares
Anaacutelisis en VirusTotal (malware)
Anaacutelisis de Package Se analiza de forma estaacutetica el paquete compilado para losdistintos sistemas operativos En caso de Android se analiza el archivo APK y en elcaso de iOS (para iPhone) el archivo IPA Estos paquetes son sometidos a distintostipos de anaacutelisis que verifican su integridad y seguridad
Ingenieriacutea Reversa Durante este proceso las aplicaciones son decompiladas con elfin de realizar un anaacutelisis de coacutedigo Este tipo de anaacutelisis permite detectar malaspraacutecticas de desarrollo fugas de informacioacuten mediante el coacutedigo fuente comodirecciones IP usuarios claves Ademaacutes permite conocer internamente losdistintos componentes que utiliza la aplicacioacuten
16 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
82 Anaacutelisis APK
El resultado del anaacutelisis para la aplicacioacuten moacutevil es el siguiente
Nombre comkhipuandroid-6631apk
SHA25608f86f67118ed597440dd7306f250c0e61a4349f823b4b5aae5b533be17935b2
Tamantildeo 676 MB
Tipo Android
URLs Interesantes 6
IPs encontradas 0
Emails encontrados 0
821 URLs detectadas
1 httpskhipucompaymentsimplified
2 httpskhipucompaymentshow
3 httpskhipucompaymentend
4 httpskhipucomcerebro
5 httpskhipucomapp20automaton
6 httpskhipicomzendesksupport
La cuarta URL tiene un formulario de autenticacioacuten al cual se le realizoacute un ataque defuerza bruta con un diccionario simple de 2000000 de palabras sin embargo no selogroacute obtener ninguna credencial para acceder al sistema Se recomienda agregarun meacutetodo de proteccioacuten para prevenir ataques de fuerza bruta sobre el formulario
17 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
822Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
823 Emails detectados
No se encontraron direcciones de correo electroacutenico en el anaacutelisis
824URL detectadas
No se encontraron URL en el anaacutelisis
825 Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
826 Direcciones de correo detectados
No se encontraron direcciones de correo en el anaacutelisis
83 Anaacutelisis de Malware
Se hizo un anaacutelisis utilizando distintos motores de antivirus lo que permite ladeteccioacuten de virus gusanos troyanos y todo tipo de malware que contengan losarchivos ipa y apk correspondiente a iOS y Android respectivamente En esteperiodo solo analizamos la apk de android debido a su cambio de versioacuten
Android
Motor Estado
Ad-Aware
AegisLab
AhnLab-V3
Alibaba
18 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
ALYac
Antiy-AVL
Arcabit
Avast
Avast Mobile Security
AVG
Avira
AVware
Baidu
BitDefender
Bkav
CAT-QuickHeal
ClamAV
CMC
Comodo
Cyren
Emsisoft
eScan
ESET-NOD32
19 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
F-Prot
F-Secure
Fortinet
GData
Ikarus
Jiangmin
K7AntiVirus
K7GW
Kaspersky
Kingsoft
Malwarebytes
MAX
McAfee
McAfee-GW-Edition
Microsoft
NANO-Antivirus
nProtect
Panda
Qihoo-360
20 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
Rising
Sophos AV
SUPERAntiSpyware
Symantec
Symantec Mobile Insight
Tencent
TheHacker
TrendMicro
TrendMicro-HouseCall
Trustlook
VBA32
VIPRE
ViRobot
Webroot
WhiteArmor
Yandex
Zillya
ZoneAlarm
Zoner
21 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
9 Vulnerabilidades declaradas
A continuacioacuten se listan las vulnerabilidades declaradas por terceros que puedancomprometer la seguridad de la aplicacioacuten y khipucom
En este periodo de anaacutelisis se encontraron 2 vulnerabilidades que afectan a laimplementacioacuten de SSLTLS la primera de ellas es BEAST (CVE-2011-3389) estavulnerabilidad afecta a la versioacuten 1 de TLS esta vulnerabilidad se encuentramitigada al soportar la versioacuten 11 y 12 de TLS para corregirla correctamente sedebe desactivar el soporte para TLS 1
La segunda vulnerabilidad es LUCKY13 (CVE-2013-0169) esta afecta a lasimplementaciones de TLS que utilicen el modo de cifrado CBC (Cipher-Block-Chaining) por lo cual la mitigacioacuten es deshabilitar los cifrados que utilicen estosmeacutetodos y siempre tener la uacuteltima versioacuten estable de OpenSSL
Referencias
httpswwwopensslorgblogblog20160824sweet32
httpwwwisgrhulacuktls
httpsraymiiorgstutorialsStrong_SSL_Security_On_nginxhtml
httpscipherlist
22 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
10 Anexos
Archivo SHA256SUM
1 khipuandroid05032018cap 59cd2070041f5f17957cb0538bc011fbeda128c4bdbacd51eb63e9e0f1929703
5 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
2 Introduccioacuten
La aplicacioacuten khipu permite a personas y empresas pagar y cobrar usando suscuentas corrientes o cuentas vista del banco de manera faacutecil y segura
El terminal de pago de khipu es un navegador web especializado en pagos por loque valida el correcto uso de las paacuteginas de los bancos forma parte de un sistemaque genera comprobantes de pago firmados electroacutenicamente es reconocido porlos principales antivirus del mundo y se instala desde fuentes oficiales de cadaplataforma
Adicionalmente khipu no almacena ni enviacutea claves u contrasentildeas a sus servidores oa terceros
El anaacutelisis consiste en el monitoreo y anaacutelisis de todo el traacutefico que genera laaplicacioacuten para las distintas plataformas con el fin de detectar conexionessospechosas
Esta revisioacuten incluye las versiones del terminal de pagos disponible para WindowsOSX Linux iOS y Android
6 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
3 Objetivo
El presente anaacutelisis se realiza mensualmente en un diacutea y hora definida por Nivel 4sin que khipu conozca esta informacioacuten de antemano y tiene por objetivo certificarque khipu no recibe las claves bancarias de sus usuarios ni las comparte conterceros
Adicionalmente se realiza un Ethical Hacking a los terminales de pago moacuteviles enIOS y Android
4 Metodologiacutea
La metodologiacutea utilizada para la realizacioacuten de este anaacutelisis de traacutefico de red sebasa en la utilizacioacuten de un equipo que captura este traacutefico entre el terminal depagos y los bancos de acuerdo al diagrama a continuacioacuten
7 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
Esta u otras metodologiacuteas pueden ser realizadas por cualquier organizacioacuten opersona natural que asiacute lo requiera
8 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
5 Aacutembito
Para el actual periodo se registraron cambios para las aplicaciones de Android y enel caso de iOS durante este periodo solo fue posible ver un cambio en su HASH
Plataforma Versioacuten SHA256SUM
Android 663108f86f67118ed597440dd7306f250c0e61a4349f823b4b5aae5b533be17935b2
iOS 6221fab5d1b4b5a1de2003e8a4b2a63e4c760c45b9a82398ae2238f4a7d65e70e24
Linux i386 11719221f5533662c3cabce75ecc9d6fdf9632ffb189941533f4992ef0ed8aaf82e6b1b1
Linux x64 117192219321ae02910a9dfcd8801ca24c11a43e707a62e8b579bcb4a10d79e0e77c908f
OSX 11719221637f66c0b5c4d04f2291ffc71ee85643980ee3e1e6c171f1caeb3430ff16a577
Windows 11719221e610e91976939e06ee53797db22f97f584c3063ae311ab8fab68a5f81faf071e
6 Anaacutelisis de traacutefico de datos
Todo el traacutefico analizado entre el terminal de pagos y los bancos se establecioacutemediante un canal seguro de comunicacioacuten Finalmente el resto del traacuteficocorresponde a consultas DNS y traacutefico propio de una red local como NTP NETBIOSARP entre otros
9 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
En los siguientes puntos se detalla el traacutefico detectado durante el uso de laaplicacioacuten evidenciando que las transacciones se realizan de forma segura y no sealmacenan datos de usuario como por ejemplo claves del banco
61 Traacutefico TLS (seguro) entre el terminal de pagos y Banco BCI
62 Traacutefico TLS (seguro) entre el terminal de pagos y Banco Santander
63 Traacutefico TLS (seguro) entre el terminal de pagos y BancoScotiabank
10 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
64 Traacutefico DNS
65 Traacutefico HTTP
Durante este periodo no se fue posible detectar traacutefico HTTP
66 Otro Traacutefico
11 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
67 Anaacutelisis del terminal de pagos
Como se puede ver en las siguientes tablas el traacutefico que se genera al utilizar laaplicacioacuten de khipu solo se realiza con servidores confiables mediante canalesseguros
671AndroidOrigen Destino Tipo de Traacutefico Descripcioacuten
1921681199 50228918 TLSv12 Khipu
1921681199 104161314 TLSv12 Banco BCI
1921681199 961722212 TLSv12 Banco Santander
1921681199 96172471 TLSv12 Banco Scotiabank
12 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
7 Anaacutelisis SSL
El siguiente anaacutelisis tiene como objetivo determinar el nivel de seguridad en laimplementacioacuten de SSLTLS se realizaraacuten pruebas para determinar si se veafectado por las vulnerabilidades conocidas hasta el momento
71 khipucom ndash 50228918 puerto 443
Vulnerabilidad Identificador Estado Observaciones
Heartbleed CVE-2014-0160 No vulnerable
CCS CVE-2014-0224 No vulnerable
ROBOT CVE-2017-17382 No vulnerable
Secure Renegotiation CVE-2009-3555 No vulnerable
Secure Client-InitiatedRenegotiation
CVE-2011-1473 No vulnerable
CRIME CVE-2012-4929 No vulnerable
BREACH CVE-2013-3587 No vulnerable
POODLE CVE-2014-3566 No vulnerable
TLS_FALLBACK_SCSV RFC 7507 No vulnerable
SWEET32 CVE-2016-2183 No vulnerable
FREAK CVE-2015-0204 No vulnerable
DROWN CVE-2016-0703 No vulnerable
LOGJAM CVE-2015-4000 No vulnerable
13 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
BEAST CVE-2011-3389 Vulnerable
LUCKY13 CVE-2013-0169 Vulnerable
RC4CVE-2013-2566CVE-2015-2808
No vulnerable
Se detectaron 2 vulnerabilidades en la implementacioacuten de SSLTLS del sitiokhipucom las que afectan la confidencialidad de la informacioacuten sin embargo estasvulnerabilidades tienen un alto grado de dificultad de explotacioacuten y se requierencondiciones especiales para su correcta explotacioacuten
72 Referencias
Nombre Link de referencia
Heartbleed httpscvemitreorgcgi-bincvenamecginame=CVE-2014-0160
ROBOT httpsrobotattackorg
BREACH httpbreachattackcom
POODLE httpscvemitreorgcgi-bincvenamecginame=CVE-2009-3555
FREAK httpscvemitreorgcgi-bincvenamecginame=CVE-2015-0204
Logjam httpscvemitreorgcgi-bincvenamecginame=CVE-2015-4000
BEAST httpscvemitreorgcgi-bincvenamecginame=CVE-2011-3389
RC4 httpscvemitreorgcgi-bincvenamecginame=CVE-2013-2566
SLOTH httpcvemitreorgcgi-bincvenamecginame=CVE-2015-7575
DROWN httpscvemitreorgcgi-bincvenamecginame=CVE-2016-0800
PaddingOracle
httpscvemitreorgcgi-bincvenamecginame=CVE-2016-2107
14 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
SWEET32 httpscvemitreorgcgi-bincvenamecginame=CVE-2016-2183
LUCKY13 httpscvemitreorgcgi-bincvenamecginame=CVE-2013-0169
15 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
8 Ethical Hacking Mobile
81 Procesos automatizados y verificacioacuten manual
Desempaquetado
Decompilacioacuten
Anaacutelisis de integridad
Anaacutelisis de metadatos
Anaacutelisis de strings
Buacutesqueda con expresiones regulares
Anaacutelisis en VirusTotal (malware)
Anaacutelisis de Package Se analiza de forma estaacutetica el paquete compilado para losdistintos sistemas operativos En caso de Android se analiza el archivo APK y en elcaso de iOS (para iPhone) el archivo IPA Estos paquetes son sometidos a distintostipos de anaacutelisis que verifican su integridad y seguridad
Ingenieriacutea Reversa Durante este proceso las aplicaciones son decompiladas con elfin de realizar un anaacutelisis de coacutedigo Este tipo de anaacutelisis permite detectar malaspraacutecticas de desarrollo fugas de informacioacuten mediante el coacutedigo fuente comodirecciones IP usuarios claves Ademaacutes permite conocer internamente losdistintos componentes que utiliza la aplicacioacuten
16 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
82 Anaacutelisis APK
El resultado del anaacutelisis para la aplicacioacuten moacutevil es el siguiente
Nombre comkhipuandroid-6631apk
SHA25608f86f67118ed597440dd7306f250c0e61a4349f823b4b5aae5b533be17935b2
Tamantildeo 676 MB
Tipo Android
URLs Interesantes 6
IPs encontradas 0
Emails encontrados 0
821 URLs detectadas
1 httpskhipucompaymentsimplified
2 httpskhipucompaymentshow
3 httpskhipucompaymentend
4 httpskhipucomcerebro
5 httpskhipucomapp20automaton
6 httpskhipicomzendesksupport
La cuarta URL tiene un formulario de autenticacioacuten al cual se le realizoacute un ataque defuerza bruta con un diccionario simple de 2000000 de palabras sin embargo no selogroacute obtener ninguna credencial para acceder al sistema Se recomienda agregarun meacutetodo de proteccioacuten para prevenir ataques de fuerza bruta sobre el formulario
17 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
822Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
823 Emails detectados
No se encontraron direcciones de correo electroacutenico en el anaacutelisis
824URL detectadas
No se encontraron URL en el anaacutelisis
825 Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
826 Direcciones de correo detectados
No se encontraron direcciones de correo en el anaacutelisis
83 Anaacutelisis de Malware
Se hizo un anaacutelisis utilizando distintos motores de antivirus lo que permite ladeteccioacuten de virus gusanos troyanos y todo tipo de malware que contengan losarchivos ipa y apk correspondiente a iOS y Android respectivamente En esteperiodo solo analizamos la apk de android debido a su cambio de versioacuten
Android
Motor Estado
Ad-Aware
AegisLab
AhnLab-V3
Alibaba
18 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
ALYac
Antiy-AVL
Arcabit
Avast
Avast Mobile Security
AVG
Avira
AVware
Baidu
BitDefender
Bkav
CAT-QuickHeal
ClamAV
CMC
Comodo
Cyren
Emsisoft
eScan
ESET-NOD32
19 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
F-Prot
F-Secure
Fortinet
GData
Ikarus
Jiangmin
K7AntiVirus
K7GW
Kaspersky
Kingsoft
Malwarebytes
MAX
McAfee
McAfee-GW-Edition
Microsoft
NANO-Antivirus
nProtect
Panda
Qihoo-360
20 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
Rising
Sophos AV
SUPERAntiSpyware
Symantec
Symantec Mobile Insight
Tencent
TheHacker
TrendMicro
TrendMicro-HouseCall
Trustlook
VBA32
VIPRE
ViRobot
Webroot
WhiteArmor
Yandex
Zillya
ZoneAlarm
Zoner
21 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
9 Vulnerabilidades declaradas
A continuacioacuten se listan las vulnerabilidades declaradas por terceros que puedancomprometer la seguridad de la aplicacioacuten y khipucom
En este periodo de anaacutelisis se encontraron 2 vulnerabilidades que afectan a laimplementacioacuten de SSLTLS la primera de ellas es BEAST (CVE-2011-3389) estavulnerabilidad afecta a la versioacuten 1 de TLS esta vulnerabilidad se encuentramitigada al soportar la versioacuten 11 y 12 de TLS para corregirla correctamente sedebe desactivar el soporte para TLS 1
La segunda vulnerabilidad es LUCKY13 (CVE-2013-0169) esta afecta a lasimplementaciones de TLS que utilicen el modo de cifrado CBC (Cipher-Block-Chaining) por lo cual la mitigacioacuten es deshabilitar los cifrados que utilicen estosmeacutetodos y siempre tener la uacuteltima versioacuten estable de OpenSSL
Referencias
httpswwwopensslorgblogblog20160824sweet32
httpwwwisgrhulacuktls
httpsraymiiorgstutorialsStrong_SSL_Security_On_nginxhtml
httpscipherlist
22 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
10 Anexos
Archivo SHA256SUM
1 khipuandroid05032018cap 59cd2070041f5f17957cb0538bc011fbeda128c4bdbacd51eb63e9e0f1929703
6 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
3 Objetivo
El presente anaacutelisis se realiza mensualmente en un diacutea y hora definida por Nivel 4sin que khipu conozca esta informacioacuten de antemano y tiene por objetivo certificarque khipu no recibe las claves bancarias de sus usuarios ni las comparte conterceros
Adicionalmente se realiza un Ethical Hacking a los terminales de pago moacuteviles enIOS y Android
4 Metodologiacutea
La metodologiacutea utilizada para la realizacioacuten de este anaacutelisis de traacutefico de red sebasa en la utilizacioacuten de un equipo que captura este traacutefico entre el terminal depagos y los bancos de acuerdo al diagrama a continuacioacuten
7 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
Esta u otras metodologiacuteas pueden ser realizadas por cualquier organizacioacuten opersona natural que asiacute lo requiera
8 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
5 Aacutembito
Para el actual periodo se registraron cambios para las aplicaciones de Android y enel caso de iOS durante este periodo solo fue posible ver un cambio en su HASH
Plataforma Versioacuten SHA256SUM
Android 663108f86f67118ed597440dd7306f250c0e61a4349f823b4b5aae5b533be17935b2
iOS 6221fab5d1b4b5a1de2003e8a4b2a63e4c760c45b9a82398ae2238f4a7d65e70e24
Linux i386 11719221f5533662c3cabce75ecc9d6fdf9632ffb189941533f4992ef0ed8aaf82e6b1b1
Linux x64 117192219321ae02910a9dfcd8801ca24c11a43e707a62e8b579bcb4a10d79e0e77c908f
OSX 11719221637f66c0b5c4d04f2291ffc71ee85643980ee3e1e6c171f1caeb3430ff16a577
Windows 11719221e610e91976939e06ee53797db22f97f584c3063ae311ab8fab68a5f81faf071e
6 Anaacutelisis de traacutefico de datos
Todo el traacutefico analizado entre el terminal de pagos y los bancos se establecioacutemediante un canal seguro de comunicacioacuten Finalmente el resto del traacuteficocorresponde a consultas DNS y traacutefico propio de una red local como NTP NETBIOSARP entre otros
9 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
En los siguientes puntos se detalla el traacutefico detectado durante el uso de laaplicacioacuten evidenciando que las transacciones se realizan de forma segura y no sealmacenan datos de usuario como por ejemplo claves del banco
61 Traacutefico TLS (seguro) entre el terminal de pagos y Banco BCI
62 Traacutefico TLS (seguro) entre el terminal de pagos y Banco Santander
63 Traacutefico TLS (seguro) entre el terminal de pagos y BancoScotiabank
10 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
64 Traacutefico DNS
65 Traacutefico HTTP
Durante este periodo no se fue posible detectar traacutefico HTTP
66 Otro Traacutefico
11 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
67 Anaacutelisis del terminal de pagos
Como se puede ver en las siguientes tablas el traacutefico que se genera al utilizar laaplicacioacuten de khipu solo se realiza con servidores confiables mediante canalesseguros
671AndroidOrigen Destino Tipo de Traacutefico Descripcioacuten
1921681199 50228918 TLSv12 Khipu
1921681199 104161314 TLSv12 Banco BCI
1921681199 961722212 TLSv12 Banco Santander
1921681199 96172471 TLSv12 Banco Scotiabank
12 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
7 Anaacutelisis SSL
El siguiente anaacutelisis tiene como objetivo determinar el nivel de seguridad en laimplementacioacuten de SSLTLS se realizaraacuten pruebas para determinar si se veafectado por las vulnerabilidades conocidas hasta el momento
71 khipucom ndash 50228918 puerto 443
Vulnerabilidad Identificador Estado Observaciones
Heartbleed CVE-2014-0160 No vulnerable
CCS CVE-2014-0224 No vulnerable
ROBOT CVE-2017-17382 No vulnerable
Secure Renegotiation CVE-2009-3555 No vulnerable
Secure Client-InitiatedRenegotiation
CVE-2011-1473 No vulnerable
CRIME CVE-2012-4929 No vulnerable
BREACH CVE-2013-3587 No vulnerable
POODLE CVE-2014-3566 No vulnerable
TLS_FALLBACK_SCSV RFC 7507 No vulnerable
SWEET32 CVE-2016-2183 No vulnerable
FREAK CVE-2015-0204 No vulnerable
DROWN CVE-2016-0703 No vulnerable
LOGJAM CVE-2015-4000 No vulnerable
13 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
BEAST CVE-2011-3389 Vulnerable
LUCKY13 CVE-2013-0169 Vulnerable
RC4CVE-2013-2566CVE-2015-2808
No vulnerable
Se detectaron 2 vulnerabilidades en la implementacioacuten de SSLTLS del sitiokhipucom las que afectan la confidencialidad de la informacioacuten sin embargo estasvulnerabilidades tienen un alto grado de dificultad de explotacioacuten y se requierencondiciones especiales para su correcta explotacioacuten
72 Referencias
Nombre Link de referencia
Heartbleed httpscvemitreorgcgi-bincvenamecginame=CVE-2014-0160
ROBOT httpsrobotattackorg
BREACH httpbreachattackcom
POODLE httpscvemitreorgcgi-bincvenamecginame=CVE-2009-3555
FREAK httpscvemitreorgcgi-bincvenamecginame=CVE-2015-0204
Logjam httpscvemitreorgcgi-bincvenamecginame=CVE-2015-4000
BEAST httpscvemitreorgcgi-bincvenamecginame=CVE-2011-3389
RC4 httpscvemitreorgcgi-bincvenamecginame=CVE-2013-2566
SLOTH httpcvemitreorgcgi-bincvenamecginame=CVE-2015-7575
DROWN httpscvemitreorgcgi-bincvenamecginame=CVE-2016-0800
PaddingOracle
httpscvemitreorgcgi-bincvenamecginame=CVE-2016-2107
14 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
SWEET32 httpscvemitreorgcgi-bincvenamecginame=CVE-2016-2183
LUCKY13 httpscvemitreorgcgi-bincvenamecginame=CVE-2013-0169
15 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
8 Ethical Hacking Mobile
81 Procesos automatizados y verificacioacuten manual
Desempaquetado
Decompilacioacuten
Anaacutelisis de integridad
Anaacutelisis de metadatos
Anaacutelisis de strings
Buacutesqueda con expresiones regulares
Anaacutelisis en VirusTotal (malware)
Anaacutelisis de Package Se analiza de forma estaacutetica el paquete compilado para losdistintos sistemas operativos En caso de Android se analiza el archivo APK y en elcaso de iOS (para iPhone) el archivo IPA Estos paquetes son sometidos a distintostipos de anaacutelisis que verifican su integridad y seguridad
Ingenieriacutea Reversa Durante este proceso las aplicaciones son decompiladas con elfin de realizar un anaacutelisis de coacutedigo Este tipo de anaacutelisis permite detectar malaspraacutecticas de desarrollo fugas de informacioacuten mediante el coacutedigo fuente comodirecciones IP usuarios claves Ademaacutes permite conocer internamente losdistintos componentes que utiliza la aplicacioacuten
16 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
82 Anaacutelisis APK
El resultado del anaacutelisis para la aplicacioacuten moacutevil es el siguiente
Nombre comkhipuandroid-6631apk
SHA25608f86f67118ed597440dd7306f250c0e61a4349f823b4b5aae5b533be17935b2
Tamantildeo 676 MB
Tipo Android
URLs Interesantes 6
IPs encontradas 0
Emails encontrados 0
821 URLs detectadas
1 httpskhipucompaymentsimplified
2 httpskhipucompaymentshow
3 httpskhipucompaymentend
4 httpskhipucomcerebro
5 httpskhipucomapp20automaton
6 httpskhipicomzendesksupport
La cuarta URL tiene un formulario de autenticacioacuten al cual se le realizoacute un ataque defuerza bruta con un diccionario simple de 2000000 de palabras sin embargo no selogroacute obtener ninguna credencial para acceder al sistema Se recomienda agregarun meacutetodo de proteccioacuten para prevenir ataques de fuerza bruta sobre el formulario
17 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
822Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
823 Emails detectados
No se encontraron direcciones de correo electroacutenico en el anaacutelisis
824URL detectadas
No se encontraron URL en el anaacutelisis
825 Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
826 Direcciones de correo detectados
No se encontraron direcciones de correo en el anaacutelisis
83 Anaacutelisis de Malware
Se hizo un anaacutelisis utilizando distintos motores de antivirus lo que permite ladeteccioacuten de virus gusanos troyanos y todo tipo de malware que contengan losarchivos ipa y apk correspondiente a iOS y Android respectivamente En esteperiodo solo analizamos la apk de android debido a su cambio de versioacuten
Android
Motor Estado
Ad-Aware
AegisLab
AhnLab-V3
Alibaba
18 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
ALYac
Antiy-AVL
Arcabit
Avast
Avast Mobile Security
AVG
Avira
AVware
Baidu
BitDefender
Bkav
CAT-QuickHeal
ClamAV
CMC
Comodo
Cyren
Emsisoft
eScan
ESET-NOD32
19 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
F-Prot
F-Secure
Fortinet
GData
Ikarus
Jiangmin
K7AntiVirus
K7GW
Kaspersky
Kingsoft
Malwarebytes
MAX
McAfee
McAfee-GW-Edition
Microsoft
NANO-Antivirus
nProtect
Panda
Qihoo-360
20 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
Rising
Sophos AV
SUPERAntiSpyware
Symantec
Symantec Mobile Insight
Tencent
TheHacker
TrendMicro
TrendMicro-HouseCall
Trustlook
VBA32
VIPRE
ViRobot
Webroot
WhiteArmor
Yandex
Zillya
ZoneAlarm
Zoner
21 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
9 Vulnerabilidades declaradas
A continuacioacuten se listan las vulnerabilidades declaradas por terceros que puedancomprometer la seguridad de la aplicacioacuten y khipucom
En este periodo de anaacutelisis se encontraron 2 vulnerabilidades que afectan a laimplementacioacuten de SSLTLS la primera de ellas es BEAST (CVE-2011-3389) estavulnerabilidad afecta a la versioacuten 1 de TLS esta vulnerabilidad se encuentramitigada al soportar la versioacuten 11 y 12 de TLS para corregirla correctamente sedebe desactivar el soporte para TLS 1
La segunda vulnerabilidad es LUCKY13 (CVE-2013-0169) esta afecta a lasimplementaciones de TLS que utilicen el modo de cifrado CBC (Cipher-Block-Chaining) por lo cual la mitigacioacuten es deshabilitar los cifrados que utilicen estosmeacutetodos y siempre tener la uacuteltima versioacuten estable de OpenSSL
Referencias
httpswwwopensslorgblogblog20160824sweet32
httpwwwisgrhulacuktls
httpsraymiiorgstutorialsStrong_SSL_Security_On_nginxhtml
httpscipherlist
22 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
10 Anexos
Archivo SHA256SUM
1 khipuandroid05032018cap 59cd2070041f5f17957cb0538bc011fbeda128c4bdbacd51eb63e9e0f1929703
7 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
Esta u otras metodologiacuteas pueden ser realizadas por cualquier organizacioacuten opersona natural que asiacute lo requiera
8 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
5 Aacutembito
Para el actual periodo se registraron cambios para las aplicaciones de Android y enel caso de iOS durante este periodo solo fue posible ver un cambio en su HASH
Plataforma Versioacuten SHA256SUM
Android 663108f86f67118ed597440dd7306f250c0e61a4349f823b4b5aae5b533be17935b2
iOS 6221fab5d1b4b5a1de2003e8a4b2a63e4c760c45b9a82398ae2238f4a7d65e70e24
Linux i386 11719221f5533662c3cabce75ecc9d6fdf9632ffb189941533f4992ef0ed8aaf82e6b1b1
Linux x64 117192219321ae02910a9dfcd8801ca24c11a43e707a62e8b579bcb4a10d79e0e77c908f
OSX 11719221637f66c0b5c4d04f2291ffc71ee85643980ee3e1e6c171f1caeb3430ff16a577
Windows 11719221e610e91976939e06ee53797db22f97f584c3063ae311ab8fab68a5f81faf071e
6 Anaacutelisis de traacutefico de datos
Todo el traacutefico analizado entre el terminal de pagos y los bancos se establecioacutemediante un canal seguro de comunicacioacuten Finalmente el resto del traacuteficocorresponde a consultas DNS y traacutefico propio de una red local como NTP NETBIOSARP entre otros
9 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
En los siguientes puntos se detalla el traacutefico detectado durante el uso de laaplicacioacuten evidenciando que las transacciones se realizan de forma segura y no sealmacenan datos de usuario como por ejemplo claves del banco
61 Traacutefico TLS (seguro) entre el terminal de pagos y Banco BCI
62 Traacutefico TLS (seguro) entre el terminal de pagos y Banco Santander
63 Traacutefico TLS (seguro) entre el terminal de pagos y BancoScotiabank
10 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
64 Traacutefico DNS
65 Traacutefico HTTP
Durante este periodo no se fue posible detectar traacutefico HTTP
66 Otro Traacutefico
11 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
67 Anaacutelisis del terminal de pagos
Como se puede ver en las siguientes tablas el traacutefico que se genera al utilizar laaplicacioacuten de khipu solo se realiza con servidores confiables mediante canalesseguros
671AndroidOrigen Destino Tipo de Traacutefico Descripcioacuten
1921681199 50228918 TLSv12 Khipu
1921681199 104161314 TLSv12 Banco BCI
1921681199 961722212 TLSv12 Banco Santander
1921681199 96172471 TLSv12 Banco Scotiabank
12 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
7 Anaacutelisis SSL
El siguiente anaacutelisis tiene como objetivo determinar el nivel de seguridad en laimplementacioacuten de SSLTLS se realizaraacuten pruebas para determinar si se veafectado por las vulnerabilidades conocidas hasta el momento
71 khipucom ndash 50228918 puerto 443
Vulnerabilidad Identificador Estado Observaciones
Heartbleed CVE-2014-0160 No vulnerable
CCS CVE-2014-0224 No vulnerable
ROBOT CVE-2017-17382 No vulnerable
Secure Renegotiation CVE-2009-3555 No vulnerable
Secure Client-InitiatedRenegotiation
CVE-2011-1473 No vulnerable
CRIME CVE-2012-4929 No vulnerable
BREACH CVE-2013-3587 No vulnerable
POODLE CVE-2014-3566 No vulnerable
TLS_FALLBACK_SCSV RFC 7507 No vulnerable
SWEET32 CVE-2016-2183 No vulnerable
FREAK CVE-2015-0204 No vulnerable
DROWN CVE-2016-0703 No vulnerable
LOGJAM CVE-2015-4000 No vulnerable
13 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
BEAST CVE-2011-3389 Vulnerable
LUCKY13 CVE-2013-0169 Vulnerable
RC4CVE-2013-2566CVE-2015-2808
No vulnerable
Se detectaron 2 vulnerabilidades en la implementacioacuten de SSLTLS del sitiokhipucom las que afectan la confidencialidad de la informacioacuten sin embargo estasvulnerabilidades tienen un alto grado de dificultad de explotacioacuten y se requierencondiciones especiales para su correcta explotacioacuten
72 Referencias
Nombre Link de referencia
Heartbleed httpscvemitreorgcgi-bincvenamecginame=CVE-2014-0160
ROBOT httpsrobotattackorg
BREACH httpbreachattackcom
POODLE httpscvemitreorgcgi-bincvenamecginame=CVE-2009-3555
FREAK httpscvemitreorgcgi-bincvenamecginame=CVE-2015-0204
Logjam httpscvemitreorgcgi-bincvenamecginame=CVE-2015-4000
BEAST httpscvemitreorgcgi-bincvenamecginame=CVE-2011-3389
RC4 httpscvemitreorgcgi-bincvenamecginame=CVE-2013-2566
SLOTH httpcvemitreorgcgi-bincvenamecginame=CVE-2015-7575
DROWN httpscvemitreorgcgi-bincvenamecginame=CVE-2016-0800
PaddingOracle
httpscvemitreorgcgi-bincvenamecginame=CVE-2016-2107
14 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
SWEET32 httpscvemitreorgcgi-bincvenamecginame=CVE-2016-2183
LUCKY13 httpscvemitreorgcgi-bincvenamecginame=CVE-2013-0169
15 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
8 Ethical Hacking Mobile
81 Procesos automatizados y verificacioacuten manual
Desempaquetado
Decompilacioacuten
Anaacutelisis de integridad
Anaacutelisis de metadatos
Anaacutelisis de strings
Buacutesqueda con expresiones regulares
Anaacutelisis en VirusTotal (malware)
Anaacutelisis de Package Se analiza de forma estaacutetica el paquete compilado para losdistintos sistemas operativos En caso de Android se analiza el archivo APK y en elcaso de iOS (para iPhone) el archivo IPA Estos paquetes son sometidos a distintostipos de anaacutelisis que verifican su integridad y seguridad
Ingenieriacutea Reversa Durante este proceso las aplicaciones son decompiladas con elfin de realizar un anaacutelisis de coacutedigo Este tipo de anaacutelisis permite detectar malaspraacutecticas de desarrollo fugas de informacioacuten mediante el coacutedigo fuente comodirecciones IP usuarios claves Ademaacutes permite conocer internamente losdistintos componentes que utiliza la aplicacioacuten
16 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
82 Anaacutelisis APK
El resultado del anaacutelisis para la aplicacioacuten moacutevil es el siguiente
Nombre comkhipuandroid-6631apk
SHA25608f86f67118ed597440dd7306f250c0e61a4349f823b4b5aae5b533be17935b2
Tamantildeo 676 MB
Tipo Android
URLs Interesantes 6
IPs encontradas 0
Emails encontrados 0
821 URLs detectadas
1 httpskhipucompaymentsimplified
2 httpskhipucompaymentshow
3 httpskhipucompaymentend
4 httpskhipucomcerebro
5 httpskhipucomapp20automaton
6 httpskhipicomzendesksupport
La cuarta URL tiene un formulario de autenticacioacuten al cual se le realizoacute un ataque defuerza bruta con un diccionario simple de 2000000 de palabras sin embargo no selogroacute obtener ninguna credencial para acceder al sistema Se recomienda agregarun meacutetodo de proteccioacuten para prevenir ataques de fuerza bruta sobre el formulario
17 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
822Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
823 Emails detectados
No se encontraron direcciones de correo electroacutenico en el anaacutelisis
824URL detectadas
No se encontraron URL en el anaacutelisis
825 Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
826 Direcciones de correo detectados
No se encontraron direcciones de correo en el anaacutelisis
83 Anaacutelisis de Malware
Se hizo un anaacutelisis utilizando distintos motores de antivirus lo que permite ladeteccioacuten de virus gusanos troyanos y todo tipo de malware que contengan losarchivos ipa y apk correspondiente a iOS y Android respectivamente En esteperiodo solo analizamos la apk de android debido a su cambio de versioacuten
Android
Motor Estado
Ad-Aware
AegisLab
AhnLab-V3
Alibaba
18 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
ALYac
Antiy-AVL
Arcabit
Avast
Avast Mobile Security
AVG
Avira
AVware
Baidu
BitDefender
Bkav
CAT-QuickHeal
ClamAV
CMC
Comodo
Cyren
Emsisoft
eScan
ESET-NOD32
19 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
F-Prot
F-Secure
Fortinet
GData
Ikarus
Jiangmin
K7AntiVirus
K7GW
Kaspersky
Kingsoft
Malwarebytes
MAX
McAfee
McAfee-GW-Edition
Microsoft
NANO-Antivirus
nProtect
Panda
Qihoo-360
20 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
Rising
Sophos AV
SUPERAntiSpyware
Symantec
Symantec Mobile Insight
Tencent
TheHacker
TrendMicro
TrendMicro-HouseCall
Trustlook
VBA32
VIPRE
ViRobot
Webroot
WhiteArmor
Yandex
Zillya
ZoneAlarm
Zoner
21 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
9 Vulnerabilidades declaradas
A continuacioacuten se listan las vulnerabilidades declaradas por terceros que puedancomprometer la seguridad de la aplicacioacuten y khipucom
En este periodo de anaacutelisis se encontraron 2 vulnerabilidades que afectan a laimplementacioacuten de SSLTLS la primera de ellas es BEAST (CVE-2011-3389) estavulnerabilidad afecta a la versioacuten 1 de TLS esta vulnerabilidad se encuentramitigada al soportar la versioacuten 11 y 12 de TLS para corregirla correctamente sedebe desactivar el soporte para TLS 1
La segunda vulnerabilidad es LUCKY13 (CVE-2013-0169) esta afecta a lasimplementaciones de TLS que utilicen el modo de cifrado CBC (Cipher-Block-Chaining) por lo cual la mitigacioacuten es deshabilitar los cifrados que utilicen estosmeacutetodos y siempre tener la uacuteltima versioacuten estable de OpenSSL
Referencias
httpswwwopensslorgblogblog20160824sweet32
httpwwwisgrhulacuktls
httpsraymiiorgstutorialsStrong_SSL_Security_On_nginxhtml
httpscipherlist
22 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
10 Anexos
Archivo SHA256SUM
1 khipuandroid05032018cap 59cd2070041f5f17957cb0538bc011fbeda128c4bdbacd51eb63e9e0f1929703
8 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
5 Aacutembito
Para el actual periodo se registraron cambios para las aplicaciones de Android y enel caso de iOS durante este periodo solo fue posible ver un cambio en su HASH
Plataforma Versioacuten SHA256SUM
Android 663108f86f67118ed597440dd7306f250c0e61a4349f823b4b5aae5b533be17935b2
iOS 6221fab5d1b4b5a1de2003e8a4b2a63e4c760c45b9a82398ae2238f4a7d65e70e24
Linux i386 11719221f5533662c3cabce75ecc9d6fdf9632ffb189941533f4992ef0ed8aaf82e6b1b1
Linux x64 117192219321ae02910a9dfcd8801ca24c11a43e707a62e8b579bcb4a10d79e0e77c908f
OSX 11719221637f66c0b5c4d04f2291ffc71ee85643980ee3e1e6c171f1caeb3430ff16a577
Windows 11719221e610e91976939e06ee53797db22f97f584c3063ae311ab8fab68a5f81faf071e
6 Anaacutelisis de traacutefico de datos
Todo el traacutefico analizado entre el terminal de pagos y los bancos se establecioacutemediante un canal seguro de comunicacioacuten Finalmente el resto del traacuteficocorresponde a consultas DNS y traacutefico propio de una red local como NTP NETBIOSARP entre otros
9 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
En los siguientes puntos se detalla el traacutefico detectado durante el uso de laaplicacioacuten evidenciando que las transacciones se realizan de forma segura y no sealmacenan datos de usuario como por ejemplo claves del banco
61 Traacutefico TLS (seguro) entre el terminal de pagos y Banco BCI
62 Traacutefico TLS (seguro) entre el terminal de pagos y Banco Santander
63 Traacutefico TLS (seguro) entre el terminal de pagos y BancoScotiabank
10 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
64 Traacutefico DNS
65 Traacutefico HTTP
Durante este periodo no se fue posible detectar traacutefico HTTP
66 Otro Traacutefico
11 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
67 Anaacutelisis del terminal de pagos
Como se puede ver en las siguientes tablas el traacutefico que se genera al utilizar laaplicacioacuten de khipu solo se realiza con servidores confiables mediante canalesseguros
671AndroidOrigen Destino Tipo de Traacutefico Descripcioacuten
1921681199 50228918 TLSv12 Khipu
1921681199 104161314 TLSv12 Banco BCI
1921681199 961722212 TLSv12 Banco Santander
1921681199 96172471 TLSv12 Banco Scotiabank
12 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
7 Anaacutelisis SSL
El siguiente anaacutelisis tiene como objetivo determinar el nivel de seguridad en laimplementacioacuten de SSLTLS se realizaraacuten pruebas para determinar si se veafectado por las vulnerabilidades conocidas hasta el momento
71 khipucom ndash 50228918 puerto 443
Vulnerabilidad Identificador Estado Observaciones
Heartbleed CVE-2014-0160 No vulnerable
CCS CVE-2014-0224 No vulnerable
ROBOT CVE-2017-17382 No vulnerable
Secure Renegotiation CVE-2009-3555 No vulnerable
Secure Client-InitiatedRenegotiation
CVE-2011-1473 No vulnerable
CRIME CVE-2012-4929 No vulnerable
BREACH CVE-2013-3587 No vulnerable
POODLE CVE-2014-3566 No vulnerable
TLS_FALLBACK_SCSV RFC 7507 No vulnerable
SWEET32 CVE-2016-2183 No vulnerable
FREAK CVE-2015-0204 No vulnerable
DROWN CVE-2016-0703 No vulnerable
LOGJAM CVE-2015-4000 No vulnerable
13 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
BEAST CVE-2011-3389 Vulnerable
LUCKY13 CVE-2013-0169 Vulnerable
RC4CVE-2013-2566CVE-2015-2808
No vulnerable
Se detectaron 2 vulnerabilidades en la implementacioacuten de SSLTLS del sitiokhipucom las que afectan la confidencialidad de la informacioacuten sin embargo estasvulnerabilidades tienen un alto grado de dificultad de explotacioacuten y se requierencondiciones especiales para su correcta explotacioacuten
72 Referencias
Nombre Link de referencia
Heartbleed httpscvemitreorgcgi-bincvenamecginame=CVE-2014-0160
ROBOT httpsrobotattackorg
BREACH httpbreachattackcom
POODLE httpscvemitreorgcgi-bincvenamecginame=CVE-2009-3555
FREAK httpscvemitreorgcgi-bincvenamecginame=CVE-2015-0204
Logjam httpscvemitreorgcgi-bincvenamecginame=CVE-2015-4000
BEAST httpscvemitreorgcgi-bincvenamecginame=CVE-2011-3389
RC4 httpscvemitreorgcgi-bincvenamecginame=CVE-2013-2566
SLOTH httpcvemitreorgcgi-bincvenamecginame=CVE-2015-7575
DROWN httpscvemitreorgcgi-bincvenamecginame=CVE-2016-0800
PaddingOracle
httpscvemitreorgcgi-bincvenamecginame=CVE-2016-2107
14 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
SWEET32 httpscvemitreorgcgi-bincvenamecginame=CVE-2016-2183
LUCKY13 httpscvemitreorgcgi-bincvenamecginame=CVE-2013-0169
15 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
8 Ethical Hacking Mobile
81 Procesos automatizados y verificacioacuten manual
Desempaquetado
Decompilacioacuten
Anaacutelisis de integridad
Anaacutelisis de metadatos
Anaacutelisis de strings
Buacutesqueda con expresiones regulares
Anaacutelisis en VirusTotal (malware)
Anaacutelisis de Package Se analiza de forma estaacutetica el paquete compilado para losdistintos sistemas operativos En caso de Android se analiza el archivo APK y en elcaso de iOS (para iPhone) el archivo IPA Estos paquetes son sometidos a distintostipos de anaacutelisis que verifican su integridad y seguridad
Ingenieriacutea Reversa Durante este proceso las aplicaciones son decompiladas con elfin de realizar un anaacutelisis de coacutedigo Este tipo de anaacutelisis permite detectar malaspraacutecticas de desarrollo fugas de informacioacuten mediante el coacutedigo fuente comodirecciones IP usuarios claves Ademaacutes permite conocer internamente losdistintos componentes que utiliza la aplicacioacuten
16 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
82 Anaacutelisis APK
El resultado del anaacutelisis para la aplicacioacuten moacutevil es el siguiente
Nombre comkhipuandroid-6631apk
SHA25608f86f67118ed597440dd7306f250c0e61a4349f823b4b5aae5b533be17935b2
Tamantildeo 676 MB
Tipo Android
URLs Interesantes 6
IPs encontradas 0
Emails encontrados 0
821 URLs detectadas
1 httpskhipucompaymentsimplified
2 httpskhipucompaymentshow
3 httpskhipucompaymentend
4 httpskhipucomcerebro
5 httpskhipucomapp20automaton
6 httpskhipicomzendesksupport
La cuarta URL tiene un formulario de autenticacioacuten al cual se le realizoacute un ataque defuerza bruta con un diccionario simple de 2000000 de palabras sin embargo no selogroacute obtener ninguna credencial para acceder al sistema Se recomienda agregarun meacutetodo de proteccioacuten para prevenir ataques de fuerza bruta sobre el formulario
17 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
822Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
823 Emails detectados
No se encontraron direcciones de correo electroacutenico en el anaacutelisis
824URL detectadas
No se encontraron URL en el anaacutelisis
825 Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
826 Direcciones de correo detectados
No se encontraron direcciones de correo en el anaacutelisis
83 Anaacutelisis de Malware
Se hizo un anaacutelisis utilizando distintos motores de antivirus lo que permite ladeteccioacuten de virus gusanos troyanos y todo tipo de malware que contengan losarchivos ipa y apk correspondiente a iOS y Android respectivamente En esteperiodo solo analizamos la apk de android debido a su cambio de versioacuten
Android
Motor Estado
Ad-Aware
AegisLab
AhnLab-V3
Alibaba
18 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
ALYac
Antiy-AVL
Arcabit
Avast
Avast Mobile Security
AVG
Avira
AVware
Baidu
BitDefender
Bkav
CAT-QuickHeal
ClamAV
CMC
Comodo
Cyren
Emsisoft
eScan
ESET-NOD32
19 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
F-Prot
F-Secure
Fortinet
GData
Ikarus
Jiangmin
K7AntiVirus
K7GW
Kaspersky
Kingsoft
Malwarebytes
MAX
McAfee
McAfee-GW-Edition
Microsoft
NANO-Antivirus
nProtect
Panda
Qihoo-360
20 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
Rising
Sophos AV
SUPERAntiSpyware
Symantec
Symantec Mobile Insight
Tencent
TheHacker
TrendMicro
TrendMicro-HouseCall
Trustlook
VBA32
VIPRE
ViRobot
Webroot
WhiteArmor
Yandex
Zillya
ZoneAlarm
Zoner
21 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
9 Vulnerabilidades declaradas
A continuacioacuten se listan las vulnerabilidades declaradas por terceros que puedancomprometer la seguridad de la aplicacioacuten y khipucom
En este periodo de anaacutelisis se encontraron 2 vulnerabilidades que afectan a laimplementacioacuten de SSLTLS la primera de ellas es BEAST (CVE-2011-3389) estavulnerabilidad afecta a la versioacuten 1 de TLS esta vulnerabilidad se encuentramitigada al soportar la versioacuten 11 y 12 de TLS para corregirla correctamente sedebe desactivar el soporte para TLS 1
La segunda vulnerabilidad es LUCKY13 (CVE-2013-0169) esta afecta a lasimplementaciones de TLS que utilicen el modo de cifrado CBC (Cipher-Block-Chaining) por lo cual la mitigacioacuten es deshabilitar los cifrados que utilicen estosmeacutetodos y siempre tener la uacuteltima versioacuten estable de OpenSSL
Referencias
httpswwwopensslorgblogblog20160824sweet32
httpwwwisgrhulacuktls
httpsraymiiorgstutorialsStrong_SSL_Security_On_nginxhtml
httpscipherlist
22 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
10 Anexos
Archivo SHA256SUM
1 khipuandroid05032018cap 59cd2070041f5f17957cb0538bc011fbeda128c4bdbacd51eb63e9e0f1929703
9 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
En los siguientes puntos se detalla el traacutefico detectado durante el uso de laaplicacioacuten evidenciando que las transacciones se realizan de forma segura y no sealmacenan datos de usuario como por ejemplo claves del banco
61 Traacutefico TLS (seguro) entre el terminal de pagos y Banco BCI
62 Traacutefico TLS (seguro) entre el terminal de pagos y Banco Santander
63 Traacutefico TLS (seguro) entre el terminal de pagos y BancoScotiabank
10 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
64 Traacutefico DNS
65 Traacutefico HTTP
Durante este periodo no se fue posible detectar traacutefico HTTP
66 Otro Traacutefico
11 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
67 Anaacutelisis del terminal de pagos
Como se puede ver en las siguientes tablas el traacutefico que se genera al utilizar laaplicacioacuten de khipu solo se realiza con servidores confiables mediante canalesseguros
671AndroidOrigen Destino Tipo de Traacutefico Descripcioacuten
1921681199 50228918 TLSv12 Khipu
1921681199 104161314 TLSv12 Banco BCI
1921681199 961722212 TLSv12 Banco Santander
1921681199 96172471 TLSv12 Banco Scotiabank
12 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
7 Anaacutelisis SSL
El siguiente anaacutelisis tiene como objetivo determinar el nivel de seguridad en laimplementacioacuten de SSLTLS se realizaraacuten pruebas para determinar si se veafectado por las vulnerabilidades conocidas hasta el momento
71 khipucom ndash 50228918 puerto 443
Vulnerabilidad Identificador Estado Observaciones
Heartbleed CVE-2014-0160 No vulnerable
CCS CVE-2014-0224 No vulnerable
ROBOT CVE-2017-17382 No vulnerable
Secure Renegotiation CVE-2009-3555 No vulnerable
Secure Client-InitiatedRenegotiation
CVE-2011-1473 No vulnerable
CRIME CVE-2012-4929 No vulnerable
BREACH CVE-2013-3587 No vulnerable
POODLE CVE-2014-3566 No vulnerable
TLS_FALLBACK_SCSV RFC 7507 No vulnerable
SWEET32 CVE-2016-2183 No vulnerable
FREAK CVE-2015-0204 No vulnerable
DROWN CVE-2016-0703 No vulnerable
LOGJAM CVE-2015-4000 No vulnerable
13 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
BEAST CVE-2011-3389 Vulnerable
LUCKY13 CVE-2013-0169 Vulnerable
RC4CVE-2013-2566CVE-2015-2808
No vulnerable
Se detectaron 2 vulnerabilidades en la implementacioacuten de SSLTLS del sitiokhipucom las que afectan la confidencialidad de la informacioacuten sin embargo estasvulnerabilidades tienen un alto grado de dificultad de explotacioacuten y se requierencondiciones especiales para su correcta explotacioacuten
72 Referencias
Nombre Link de referencia
Heartbleed httpscvemitreorgcgi-bincvenamecginame=CVE-2014-0160
ROBOT httpsrobotattackorg
BREACH httpbreachattackcom
POODLE httpscvemitreorgcgi-bincvenamecginame=CVE-2009-3555
FREAK httpscvemitreorgcgi-bincvenamecginame=CVE-2015-0204
Logjam httpscvemitreorgcgi-bincvenamecginame=CVE-2015-4000
BEAST httpscvemitreorgcgi-bincvenamecginame=CVE-2011-3389
RC4 httpscvemitreorgcgi-bincvenamecginame=CVE-2013-2566
SLOTH httpcvemitreorgcgi-bincvenamecginame=CVE-2015-7575
DROWN httpscvemitreorgcgi-bincvenamecginame=CVE-2016-0800
PaddingOracle
httpscvemitreorgcgi-bincvenamecginame=CVE-2016-2107
14 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
SWEET32 httpscvemitreorgcgi-bincvenamecginame=CVE-2016-2183
LUCKY13 httpscvemitreorgcgi-bincvenamecginame=CVE-2013-0169
15 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
8 Ethical Hacking Mobile
81 Procesos automatizados y verificacioacuten manual
Desempaquetado
Decompilacioacuten
Anaacutelisis de integridad
Anaacutelisis de metadatos
Anaacutelisis de strings
Buacutesqueda con expresiones regulares
Anaacutelisis en VirusTotal (malware)
Anaacutelisis de Package Se analiza de forma estaacutetica el paquete compilado para losdistintos sistemas operativos En caso de Android se analiza el archivo APK y en elcaso de iOS (para iPhone) el archivo IPA Estos paquetes son sometidos a distintostipos de anaacutelisis que verifican su integridad y seguridad
Ingenieriacutea Reversa Durante este proceso las aplicaciones son decompiladas con elfin de realizar un anaacutelisis de coacutedigo Este tipo de anaacutelisis permite detectar malaspraacutecticas de desarrollo fugas de informacioacuten mediante el coacutedigo fuente comodirecciones IP usuarios claves Ademaacutes permite conocer internamente losdistintos componentes que utiliza la aplicacioacuten
16 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
82 Anaacutelisis APK
El resultado del anaacutelisis para la aplicacioacuten moacutevil es el siguiente
Nombre comkhipuandroid-6631apk
SHA25608f86f67118ed597440dd7306f250c0e61a4349f823b4b5aae5b533be17935b2
Tamantildeo 676 MB
Tipo Android
URLs Interesantes 6
IPs encontradas 0
Emails encontrados 0
821 URLs detectadas
1 httpskhipucompaymentsimplified
2 httpskhipucompaymentshow
3 httpskhipucompaymentend
4 httpskhipucomcerebro
5 httpskhipucomapp20automaton
6 httpskhipicomzendesksupport
La cuarta URL tiene un formulario de autenticacioacuten al cual se le realizoacute un ataque defuerza bruta con un diccionario simple de 2000000 de palabras sin embargo no selogroacute obtener ninguna credencial para acceder al sistema Se recomienda agregarun meacutetodo de proteccioacuten para prevenir ataques de fuerza bruta sobre el formulario
17 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
822Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
823 Emails detectados
No se encontraron direcciones de correo electroacutenico en el anaacutelisis
824URL detectadas
No se encontraron URL en el anaacutelisis
825 Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
826 Direcciones de correo detectados
No se encontraron direcciones de correo en el anaacutelisis
83 Anaacutelisis de Malware
Se hizo un anaacutelisis utilizando distintos motores de antivirus lo que permite ladeteccioacuten de virus gusanos troyanos y todo tipo de malware que contengan losarchivos ipa y apk correspondiente a iOS y Android respectivamente En esteperiodo solo analizamos la apk de android debido a su cambio de versioacuten
Android
Motor Estado
Ad-Aware
AegisLab
AhnLab-V3
Alibaba
18 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
ALYac
Antiy-AVL
Arcabit
Avast
Avast Mobile Security
AVG
Avira
AVware
Baidu
BitDefender
Bkav
CAT-QuickHeal
ClamAV
CMC
Comodo
Cyren
Emsisoft
eScan
ESET-NOD32
19 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
F-Prot
F-Secure
Fortinet
GData
Ikarus
Jiangmin
K7AntiVirus
K7GW
Kaspersky
Kingsoft
Malwarebytes
MAX
McAfee
McAfee-GW-Edition
Microsoft
NANO-Antivirus
nProtect
Panda
Qihoo-360
20 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
Rising
Sophos AV
SUPERAntiSpyware
Symantec
Symantec Mobile Insight
Tencent
TheHacker
TrendMicro
TrendMicro-HouseCall
Trustlook
VBA32
VIPRE
ViRobot
Webroot
WhiteArmor
Yandex
Zillya
ZoneAlarm
Zoner
21 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
9 Vulnerabilidades declaradas
A continuacioacuten se listan las vulnerabilidades declaradas por terceros que puedancomprometer la seguridad de la aplicacioacuten y khipucom
En este periodo de anaacutelisis se encontraron 2 vulnerabilidades que afectan a laimplementacioacuten de SSLTLS la primera de ellas es BEAST (CVE-2011-3389) estavulnerabilidad afecta a la versioacuten 1 de TLS esta vulnerabilidad se encuentramitigada al soportar la versioacuten 11 y 12 de TLS para corregirla correctamente sedebe desactivar el soporte para TLS 1
La segunda vulnerabilidad es LUCKY13 (CVE-2013-0169) esta afecta a lasimplementaciones de TLS que utilicen el modo de cifrado CBC (Cipher-Block-Chaining) por lo cual la mitigacioacuten es deshabilitar los cifrados que utilicen estosmeacutetodos y siempre tener la uacuteltima versioacuten estable de OpenSSL
Referencias
httpswwwopensslorgblogblog20160824sweet32
httpwwwisgrhulacuktls
httpsraymiiorgstutorialsStrong_SSL_Security_On_nginxhtml
httpscipherlist
22 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
10 Anexos
Archivo SHA256SUM
1 khipuandroid05032018cap 59cd2070041f5f17957cb0538bc011fbeda128c4bdbacd51eb63e9e0f1929703
10 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
64 Traacutefico DNS
65 Traacutefico HTTP
Durante este periodo no se fue posible detectar traacutefico HTTP
66 Otro Traacutefico
11 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
67 Anaacutelisis del terminal de pagos
Como se puede ver en las siguientes tablas el traacutefico que se genera al utilizar laaplicacioacuten de khipu solo se realiza con servidores confiables mediante canalesseguros
671AndroidOrigen Destino Tipo de Traacutefico Descripcioacuten
1921681199 50228918 TLSv12 Khipu
1921681199 104161314 TLSv12 Banco BCI
1921681199 961722212 TLSv12 Banco Santander
1921681199 96172471 TLSv12 Banco Scotiabank
12 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
7 Anaacutelisis SSL
El siguiente anaacutelisis tiene como objetivo determinar el nivel de seguridad en laimplementacioacuten de SSLTLS se realizaraacuten pruebas para determinar si se veafectado por las vulnerabilidades conocidas hasta el momento
71 khipucom ndash 50228918 puerto 443
Vulnerabilidad Identificador Estado Observaciones
Heartbleed CVE-2014-0160 No vulnerable
CCS CVE-2014-0224 No vulnerable
ROBOT CVE-2017-17382 No vulnerable
Secure Renegotiation CVE-2009-3555 No vulnerable
Secure Client-InitiatedRenegotiation
CVE-2011-1473 No vulnerable
CRIME CVE-2012-4929 No vulnerable
BREACH CVE-2013-3587 No vulnerable
POODLE CVE-2014-3566 No vulnerable
TLS_FALLBACK_SCSV RFC 7507 No vulnerable
SWEET32 CVE-2016-2183 No vulnerable
FREAK CVE-2015-0204 No vulnerable
DROWN CVE-2016-0703 No vulnerable
LOGJAM CVE-2015-4000 No vulnerable
13 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
BEAST CVE-2011-3389 Vulnerable
LUCKY13 CVE-2013-0169 Vulnerable
RC4CVE-2013-2566CVE-2015-2808
No vulnerable
Se detectaron 2 vulnerabilidades en la implementacioacuten de SSLTLS del sitiokhipucom las que afectan la confidencialidad de la informacioacuten sin embargo estasvulnerabilidades tienen un alto grado de dificultad de explotacioacuten y se requierencondiciones especiales para su correcta explotacioacuten
72 Referencias
Nombre Link de referencia
Heartbleed httpscvemitreorgcgi-bincvenamecginame=CVE-2014-0160
ROBOT httpsrobotattackorg
BREACH httpbreachattackcom
POODLE httpscvemitreorgcgi-bincvenamecginame=CVE-2009-3555
FREAK httpscvemitreorgcgi-bincvenamecginame=CVE-2015-0204
Logjam httpscvemitreorgcgi-bincvenamecginame=CVE-2015-4000
BEAST httpscvemitreorgcgi-bincvenamecginame=CVE-2011-3389
RC4 httpscvemitreorgcgi-bincvenamecginame=CVE-2013-2566
SLOTH httpcvemitreorgcgi-bincvenamecginame=CVE-2015-7575
DROWN httpscvemitreorgcgi-bincvenamecginame=CVE-2016-0800
PaddingOracle
httpscvemitreorgcgi-bincvenamecginame=CVE-2016-2107
14 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
SWEET32 httpscvemitreorgcgi-bincvenamecginame=CVE-2016-2183
LUCKY13 httpscvemitreorgcgi-bincvenamecginame=CVE-2013-0169
15 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
8 Ethical Hacking Mobile
81 Procesos automatizados y verificacioacuten manual
Desempaquetado
Decompilacioacuten
Anaacutelisis de integridad
Anaacutelisis de metadatos
Anaacutelisis de strings
Buacutesqueda con expresiones regulares
Anaacutelisis en VirusTotal (malware)
Anaacutelisis de Package Se analiza de forma estaacutetica el paquete compilado para losdistintos sistemas operativos En caso de Android se analiza el archivo APK y en elcaso de iOS (para iPhone) el archivo IPA Estos paquetes son sometidos a distintostipos de anaacutelisis que verifican su integridad y seguridad
Ingenieriacutea Reversa Durante este proceso las aplicaciones son decompiladas con elfin de realizar un anaacutelisis de coacutedigo Este tipo de anaacutelisis permite detectar malaspraacutecticas de desarrollo fugas de informacioacuten mediante el coacutedigo fuente comodirecciones IP usuarios claves Ademaacutes permite conocer internamente losdistintos componentes que utiliza la aplicacioacuten
16 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
82 Anaacutelisis APK
El resultado del anaacutelisis para la aplicacioacuten moacutevil es el siguiente
Nombre comkhipuandroid-6631apk
SHA25608f86f67118ed597440dd7306f250c0e61a4349f823b4b5aae5b533be17935b2
Tamantildeo 676 MB
Tipo Android
URLs Interesantes 6
IPs encontradas 0
Emails encontrados 0
821 URLs detectadas
1 httpskhipucompaymentsimplified
2 httpskhipucompaymentshow
3 httpskhipucompaymentend
4 httpskhipucomcerebro
5 httpskhipucomapp20automaton
6 httpskhipicomzendesksupport
La cuarta URL tiene un formulario de autenticacioacuten al cual se le realizoacute un ataque defuerza bruta con un diccionario simple de 2000000 de palabras sin embargo no selogroacute obtener ninguna credencial para acceder al sistema Se recomienda agregarun meacutetodo de proteccioacuten para prevenir ataques de fuerza bruta sobre el formulario
17 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
822Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
823 Emails detectados
No se encontraron direcciones de correo electroacutenico en el anaacutelisis
824URL detectadas
No se encontraron URL en el anaacutelisis
825 Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
826 Direcciones de correo detectados
No se encontraron direcciones de correo en el anaacutelisis
83 Anaacutelisis de Malware
Se hizo un anaacutelisis utilizando distintos motores de antivirus lo que permite ladeteccioacuten de virus gusanos troyanos y todo tipo de malware que contengan losarchivos ipa y apk correspondiente a iOS y Android respectivamente En esteperiodo solo analizamos la apk de android debido a su cambio de versioacuten
Android
Motor Estado
Ad-Aware
AegisLab
AhnLab-V3
Alibaba
18 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
ALYac
Antiy-AVL
Arcabit
Avast
Avast Mobile Security
AVG
Avira
AVware
Baidu
BitDefender
Bkav
CAT-QuickHeal
ClamAV
CMC
Comodo
Cyren
Emsisoft
eScan
ESET-NOD32
19 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
F-Prot
F-Secure
Fortinet
GData
Ikarus
Jiangmin
K7AntiVirus
K7GW
Kaspersky
Kingsoft
Malwarebytes
MAX
McAfee
McAfee-GW-Edition
Microsoft
NANO-Antivirus
nProtect
Panda
Qihoo-360
20 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
Rising
Sophos AV
SUPERAntiSpyware
Symantec
Symantec Mobile Insight
Tencent
TheHacker
TrendMicro
TrendMicro-HouseCall
Trustlook
VBA32
VIPRE
ViRobot
Webroot
WhiteArmor
Yandex
Zillya
ZoneAlarm
Zoner
21 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
9 Vulnerabilidades declaradas
A continuacioacuten se listan las vulnerabilidades declaradas por terceros que puedancomprometer la seguridad de la aplicacioacuten y khipucom
En este periodo de anaacutelisis se encontraron 2 vulnerabilidades que afectan a laimplementacioacuten de SSLTLS la primera de ellas es BEAST (CVE-2011-3389) estavulnerabilidad afecta a la versioacuten 1 de TLS esta vulnerabilidad se encuentramitigada al soportar la versioacuten 11 y 12 de TLS para corregirla correctamente sedebe desactivar el soporte para TLS 1
La segunda vulnerabilidad es LUCKY13 (CVE-2013-0169) esta afecta a lasimplementaciones de TLS que utilicen el modo de cifrado CBC (Cipher-Block-Chaining) por lo cual la mitigacioacuten es deshabilitar los cifrados que utilicen estosmeacutetodos y siempre tener la uacuteltima versioacuten estable de OpenSSL
Referencias
httpswwwopensslorgblogblog20160824sweet32
httpwwwisgrhulacuktls
httpsraymiiorgstutorialsStrong_SSL_Security_On_nginxhtml
httpscipherlist
22 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
10 Anexos
Archivo SHA256SUM
1 khipuandroid05032018cap 59cd2070041f5f17957cb0538bc011fbeda128c4bdbacd51eb63e9e0f1929703
11 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
67 Anaacutelisis del terminal de pagos
Como se puede ver en las siguientes tablas el traacutefico que se genera al utilizar laaplicacioacuten de khipu solo se realiza con servidores confiables mediante canalesseguros
671AndroidOrigen Destino Tipo de Traacutefico Descripcioacuten
1921681199 50228918 TLSv12 Khipu
1921681199 104161314 TLSv12 Banco BCI
1921681199 961722212 TLSv12 Banco Santander
1921681199 96172471 TLSv12 Banco Scotiabank
12 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
7 Anaacutelisis SSL
El siguiente anaacutelisis tiene como objetivo determinar el nivel de seguridad en laimplementacioacuten de SSLTLS se realizaraacuten pruebas para determinar si se veafectado por las vulnerabilidades conocidas hasta el momento
71 khipucom ndash 50228918 puerto 443
Vulnerabilidad Identificador Estado Observaciones
Heartbleed CVE-2014-0160 No vulnerable
CCS CVE-2014-0224 No vulnerable
ROBOT CVE-2017-17382 No vulnerable
Secure Renegotiation CVE-2009-3555 No vulnerable
Secure Client-InitiatedRenegotiation
CVE-2011-1473 No vulnerable
CRIME CVE-2012-4929 No vulnerable
BREACH CVE-2013-3587 No vulnerable
POODLE CVE-2014-3566 No vulnerable
TLS_FALLBACK_SCSV RFC 7507 No vulnerable
SWEET32 CVE-2016-2183 No vulnerable
FREAK CVE-2015-0204 No vulnerable
DROWN CVE-2016-0703 No vulnerable
LOGJAM CVE-2015-4000 No vulnerable
13 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
BEAST CVE-2011-3389 Vulnerable
LUCKY13 CVE-2013-0169 Vulnerable
RC4CVE-2013-2566CVE-2015-2808
No vulnerable
Se detectaron 2 vulnerabilidades en la implementacioacuten de SSLTLS del sitiokhipucom las que afectan la confidencialidad de la informacioacuten sin embargo estasvulnerabilidades tienen un alto grado de dificultad de explotacioacuten y se requierencondiciones especiales para su correcta explotacioacuten
72 Referencias
Nombre Link de referencia
Heartbleed httpscvemitreorgcgi-bincvenamecginame=CVE-2014-0160
ROBOT httpsrobotattackorg
BREACH httpbreachattackcom
POODLE httpscvemitreorgcgi-bincvenamecginame=CVE-2009-3555
FREAK httpscvemitreorgcgi-bincvenamecginame=CVE-2015-0204
Logjam httpscvemitreorgcgi-bincvenamecginame=CVE-2015-4000
BEAST httpscvemitreorgcgi-bincvenamecginame=CVE-2011-3389
RC4 httpscvemitreorgcgi-bincvenamecginame=CVE-2013-2566
SLOTH httpcvemitreorgcgi-bincvenamecginame=CVE-2015-7575
DROWN httpscvemitreorgcgi-bincvenamecginame=CVE-2016-0800
PaddingOracle
httpscvemitreorgcgi-bincvenamecginame=CVE-2016-2107
14 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
SWEET32 httpscvemitreorgcgi-bincvenamecginame=CVE-2016-2183
LUCKY13 httpscvemitreorgcgi-bincvenamecginame=CVE-2013-0169
15 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
8 Ethical Hacking Mobile
81 Procesos automatizados y verificacioacuten manual
Desempaquetado
Decompilacioacuten
Anaacutelisis de integridad
Anaacutelisis de metadatos
Anaacutelisis de strings
Buacutesqueda con expresiones regulares
Anaacutelisis en VirusTotal (malware)
Anaacutelisis de Package Se analiza de forma estaacutetica el paquete compilado para losdistintos sistemas operativos En caso de Android se analiza el archivo APK y en elcaso de iOS (para iPhone) el archivo IPA Estos paquetes son sometidos a distintostipos de anaacutelisis que verifican su integridad y seguridad
Ingenieriacutea Reversa Durante este proceso las aplicaciones son decompiladas con elfin de realizar un anaacutelisis de coacutedigo Este tipo de anaacutelisis permite detectar malaspraacutecticas de desarrollo fugas de informacioacuten mediante el coacutedigo fuente comodirecciones IP usuarios claves Ademaacutes permite conocer internamente losdistintos componentes que utiliza la aplicacioacuten
16 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
82 Anaacutelisis APK
El resultado del anaacutelisis para la aplicacioacuten moacutevil es el siguiente
Nombre comkhipuandroid-6631apk
SHA25608f86f67118ed597440dd7306f250c0e61a4349f823b4b5aae5b533be17935b2
Tamantildeo 676 MB
Tipo Android
URLs Interesantes 6
IPs encontradas 0
Emails encontrados 0
821 URLs detectadas
1 httpskhipucompaymentsimplified
2 httpskhipucompaymentshow
3 httpskhipucompaymentend
4 httpskhipucomcerebro
5 httpskhipucomapp20automaton
6 httpskhipicomzendesksupport
La cuarta URL tiene un formulario de autenticacioacuten al cual se le realizoacute un ataque defuerza bruta con un diccionario simple de 2000000 de palabras sin embargo no selogroacute obtener ninguna credencial para acceder al sistema Se recomienda agregarun meacutetodo de proteccioacuten para prevenir ataques de fuerza bruta sobre el formulario
17 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
822Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
823 Emails detectados
No se encontraron direcciones de correo electroacutenico en el anaacutelisis
824URL detectadas
No se encontraron URL en el anaacutelisis
825 Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
826 Direcciones de correo detectados
No se encontraron direcciones de correo en el anaacutelisis
83 Anaacutelisis de Malware
Se hizo un anaacutelisis utilizando distintos motores de antivirus lo que permite ladeteccioacuten de virus gusanos troyanos y todo tipo de malware que contengan losarchivos ipa y apk correspondiente a iOS y Android respectivamente En esteperiodo solo analizamos la apk de android debido a su cambio de versioacuten
Android
Motor Estado
Ad-Aware
AegisLab
AhnLab-V3
Alibaba
18 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
ALYac
Antiy-AVL
Arcabit
Avast
Avast Mobile Security
AVG
Avira
AVware
Baidu
BitDefender
Bkav
CAT-QuickHeal
ClamAV
CMC
Comodo
Cyren
Emsisoft
eScan
ESET-NOD32
19 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
F-Prot
F-Secure
Fortinet
GData
Ikarus
Jiangmin
K7AntiVirus
K7GW
Kaspersky
Kingsoft
Malwarebytes
MAX
McAfee
McAfee-GW-Edition
Microsoft
NANO-Antivirus
nProtect
Panda
Qihoo-360
20 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
Rising
Sophos AV
SUPERAntiSpyware
Symantec
Symantec Mobile Insight
Tencent
TheHacker
TrendMicro
TrendMicro-HouseCall
Trustlook
VBA32
VIPRE
ViRobot
Webroot
WhiteArmor
Yandex
Zillya
ZoneAlarm
Zoner
21 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
9 Vulnerabilidades declaradas
A continuacioacuten se listan las vulnerabilidades declaradas por terceros que puedancomprometer la seguridad de la aplicacioacuten y khipucom
En este periodo de anaacutelisis se encontraron 2 vulnerabilidades que afectan a laimplementacioacuten de SSLTLS la primera de ellas es BEAST (CVE-2011-3389) estavulnerabilidad afecta a la versioacuten 1 de TLS esta vulnerabilidad se encuentramitigada al soportar la versioacuten 11 y 12 de TLS para corregirla correctamente sedebe desactivar el soporte para TLS 1
La segunda vulnerabilidad es LUCKY13 (CVE-2013-0169) esta afecta a lasimplementaciones de TLS que utilicen el modo de cifrado CBC (Cipher-Block-Chaining) por lo cual la mitigacioacuten es deshabilitar los cifrados que utilicen estosmeacutetodos y siempre tener la uacuteltima versioacuten estable de OpenSSL
Referencias
httpswwwopensslorgblogblog20160824sweet32
httpwwwisgrhulacuktls
httpsraymiiorgstutorialsStrong_SSL_Security_On_nginxhtml
httpscipherlist
22 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
10 Anexos
Archivo SHA256SUM
1 khipuandroid05032018cap 59cd2070041f5f17957cb0538bc011fbeda128c4bdbacd51eb63e9e0f1929703
12 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
7 Anaacutelisis SSL
El siguiente anaacutelisis tiene como objetivo determinar el nivel de seguridad en laimplementacioacuten de SSLTLS se realizaraacuten pruebas para determinar si se veafectado por las vulnerabilidades conocidas hasta el momento
71 khipucom ndash 50228918 puerto 443
Vulnerabilidad Identificador Estado Observaciones
Heartbleed CVE-2014-0160 No vulnerable
CCS CVE-2014-0224 No vulnerable
ROBOT CVE-2017-17382 No vulnerable
Secure Renegotiation CVE-2009-3555 No vulnerable
Secure Client-InitiatedRenegotiation
CVE-2011-1473 No vulnerable
CRIME CVE-2012-4929 No vulnerable
BREACH CVE-2013-3587 No vulnerable
POODLE CVE-2014-3566 No vulnerable
TLS_FALLBACK_SCSV RFC 7507 No vulnerable
SWEET32 CVE-2016-2183 No vulnerable
FREAK CVE-2015-0204 No vulnerable
DROWN CVE-2016-0703 No vulnerable
LOGJAM CVE-2015-4000 No vulnerable
13 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
BEAST CVE-2011-3389 Vulnerable
LUCKY13 CVE-2013-0169 Vulnerable
RC4CVE-2013-2566CVE-2015-2808
No vulnerable
Se detectaron 2 vulnerabilidades en la implementacioacuten de SSLTLS del sitiokhipucom las que afectan la confidencialidad de la informacioacuten sin embargo estasvulnerabilidades tienen un alto grado de dificultad de explotacioacuten y se requierencondiciones especiales para su correcta explotacioacuten
72 Referencias
Nombre Link de referencia
Heartbleed httpscvemitreorgcgi-bincvenamecginame=CVE-2014-0160
ROBOT httpsrobotattackorg
BREACH httpbreachattackcom
POODLE httpscvemitreorgcgi-bincvenamecginame=CVE-2009-3555
FREAK httpscvemitreorgcgi-bincvenamecginame=CVE-2015-0204
Logjam httpscvemitreorgcgi-bincvenamecginame=CVE-2015-4000
BEAST httpscvemitreorgcgi-bincvenamecginame=CVE-2011-3389
RC4 httpscvemitreorgcgi-bincvenamecginame=CVE-2013-2566
SLOTH httpcvemitreorgcgi-bincvenamecginame=CVE-2015-7575
DROWN httpscvemitreorgcgi-bincvenamecginame=CVE-2016-0800
PaddingOracle
httpscvemitreorgcgi-bincvenamecginame=CVE-2016-2107
14 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
SWEET32 httpscvemitreorgcgi-bincvenamecginame=CVE-2016-2183
LUCKY13 httpscvemitreorgcgi-bincvenamecginame=CVE-2013-0169
15 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
8 Ethical Hacking Mobile
81 Procesos automatizados y verificacioacuten manual
Desempaquetado
Decompilacioacuten
Anaacutelisis de integridad
Anaacutelisis de metadatos
Anaacutelisis de strings
Buacutesqueda con expresiones regulares
Anaacutelisis en VirusTotal (malware)
Anaacutelisis de Package Se analiza de forma estaacutetica el paquete compilado para losdistintos sistemas operativos En caso de Android se analiza el archivo APK y en elcaso de iOS (para iPhone) el archivo IPA Estos paquetes son sometidos a distintostipos de anaacutelisis que verifican su integridad y seguridad
Ingenieriacutea Reversa Durante este proceso las aplicaciones son decompiladas con elfin de realizar un anaacutelisis de coacutedigo Este tipo de anaacutelisis permite detectar malaspraacutecticas de desarrollo fugas de informacioacuten mediante el coacutedigo fuente comodirecciones IP usuarios claves Ademaacutes permite conocer internamente losdistintos componentes que utiliza la aplicacioacuten
16 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
82 Anaacutelisis APK
El resultado del anaacutelisis para la aplicacioacuten moacutevil es el siguiente
Nombre comkhipuandroid-6631apk
SHA25608f86f67118ed597440dd7306f250c0e61a4349f823b4b5aae5b533be17935b2
Tamantildeo 676 MB
Tipo Android
URLs Interesantes 6
IPs encontradas 0
Emails encontrados 0
821 URLs detectadas
1 httpskhipucompaymentsimplified
2 httpskhipucompaymentshow
3 httpskhipucompaymentend
4 httpskhipucomcerebro
5 httpskhipucomapp20automaton
6 httpskhipicomzendesksupport
La cuarta URL tiene un formulario de autenticacioacuten al cual se le realizoacute un ataque defuerza bruta con un diccionario simple de 2000000 de palabras sin embargo no selogroacute obtener ninguna credencial para acceder al sistema Se recomienda agregarun meacutetodo de proteccioacuten para prevenir ataques de fuerza bruta sobre el formulario
17 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
822Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
823 Emails detectados
No se encontraron direcciones de correo electroacutenico en el anaacutelisis
824URL detectadas
No se encontraron URL en el anaacutelisis
825 Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
826 Direcciones de correo detectados
No se encontraron direcciones de correo en el anaacutelisis
83 Anaacutelisis de Malware
Se hizo un anaacutelisis utilizando distintos motores de antivirus lo que permite ladeteccioacuten de virus gusanos troyanos y todo tipo de malware que contengan losarchivos ipa y apk correspondiente a iOS y Android respectivamente En esteperiodo solo analizamos la apk de android debido a su cambio de versioacuten
Android
Motor Estado
Ad-Aware
AegisLab
AhnLab-V3
Alibaba
18 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
ALYac
Antiy-AVL
Arcabit
Avast
Avast Mobile Security
AVG
Avira
AVware
Baidu
BitDefender
Bkav
CAT-QuickHeal
ClamAV
CMC
Comodo
Cyren
Emsisoft
eScan
ESET-NOD32
19 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
F-Prot
F-Secure
Fortinet
GData
Ikarus
Jiangmin
K7AntiVirus
K7GW
Kaspersky
Kingsoft
Malwarebytes
MAX
McAfee
McAfee-GW-Edition
Microsoft
NANO-Antivirus
nProtect
Panda
Qihoo-360
20 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
Rising
Sophos AV
SUPERAntiSpyware
Symantec
Symantec Mobile Insight
Tencent
TheHacker
TrendMicro
TrendMicro-HouseCall
Trustlook
VBA32
VIPRE
ViRobot
Webroot
WhiteArmor
Yandex
Zillya
ZoneAlarm
Zoner
21 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
9 Vulnerabilidades declaradas
A continuacioacuten se listan las vulnerabilidades declaradas por terceros que puedancomprometer la seguridad de la aplicacioacuten y khipucom
En este periodo de anaacutelisis se encontraron 2 vulnerabilidades que afectan a laimplementacioacuten de SSLTLS la primera de ellas es BEAST (CVE-2011-3389) estavulnerabilidad afecta a la versioacuten 1 de TLS esta vulnerabilidad se encuentramitigada al soportar la versioacuten 11 y 12 de TLS para corregirla correctamente sedebe desactivar el soporte para TLS 1
La segunda vulnerabilidad es LUCKY13 (CVE-2013-0169) esta afecta a lasimplementaciones de TLS que utilicen el modo de cifrado CBC (Cipher-Block-Chaining) por lo cual la mitigacioacuten es deshabilitar los cifrados que utilicen estosmeacutetodos y siempre tener la uacuteltima versioacuten estable de OpenSSL
Referencias
httpswwwopensslorgblogblog20160824sweet32
httpwwwisgrhulacuktls
httpsraymiiorgstutorialsStrong_SSL_Security_On_nginxhtml
httpscipherlist
22 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
10 Anexos
Archivo SHA256SUM
1 khipuandroid05032018cap 59cd2070041f5f17957cb0538bc011fbeda128c4bdbacd51eb63e9e0f1929703
13 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
BEAST CVE-2011-3389 Vulnerable
LUCKY13 CVE-2013-0169 Vulnerable
RC4CVE-2013-2566CVE-2015-2808
No vulnerable
Se detectaron 2 vulnerabilidades en la implementacioacuten de SSLTLS del sitiokhipucom las que afectan la confidencialidad de la informacioacuten sin embargo estasvulnerabilidades tienen un alto grado de dificultad de explotacioacuten y se requierencondiciones especiales para su correcta explotacioacuten
72 Referencias
Nombre Link de referencia
Heartbleed httpscvemitreorgcgi-bincvenamecginame=CVE-2014-0160
ROBOT httpsrobotattackorg
BREACH httpbreachattackcom
POODLE httpscvemitreorgcgi-bincvenamecginame=CVE-2009-3555
FREAK httpscvemitreorgcgi-bincvenamecginame=CVE-2015-0204
Logjam httpscvemitreorgcgi-bincvenamecginame=CVE-2015-4000
BEAST httpscvemitreorgcgi-bincvenamecginame=CVE-2011-3389
RC4 httpscvemitreorgcgi-bincvenamecginame=CVE-2013-2566
SLOTH httpcvemitreorgcgi-bincvenamecginame=CVE-2015-7575
DROWN httpscvemitreorgcgi-bincvenamecginame=CVE-2016-0800
PaddingOracle
httpscvemitreorgcgi-bincvenamecginame=CVE-2016-2107
14 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
SWEET32 httpscvemitreorgcgi-bincvenamecginame=CVE-2016-2183
LUCKY13 httpscvemitreorgcgi-bincvenamecginame=CVE-2013-0169
15 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
8 Ethical Hacking Mobile
81 Procesos automatizados y verificacioacuten manual
Desempaquetado
Decompilacioacuten
Anaacutelisis de integridad
Anaacutelisis de metadatos
Anaacutelisis de strings
Buacutesqueda con expresiones regulares
Anaacutelisis en VirusTotal (malware)
Anaacutelisis de Package Se analiza de forma estaacutetica el paquete compilado para losdistintos sistemas operativos En caso de Android se analiza el archivo APK y en elcaso de iOS (para iPhone) el archivo IPA Estos paquetes son sometidos a distintostipos de anaacutelisis que verifican su integridad y seguridad
Ingenieriacutea Reversa Durante este proceso las aplicaciones son decompiladas con elfin de realizar un anaacutelisis de coacutedigo Este tipo de anaacutelisis permite detectar malaspraacutecticas de desarrollo fugas de informacioacuten mediante el coacutedigo fuente comodirecciones IP usuarios claves Ademaacutes permite conocer internamente losdistintos componentes que utiliza la aplicacioacuten
16 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
82 Anaacutelisis APK
El resultado del anaacutelisis para la aplicacioacuten moacutevil es el siguiente
Nombre comkhipuandroid-6631apk
SHA25608f86f67118ed597440dd7306f250c0e61a4349f823b4b5aae5b533be17935b2
Tamantildeo 676 MB
Tipo Android
URLs Interesantes 6
IPs encontradas 0
Emails encontrados 0
821 URLs detectadas
1 httpskhipucompaymentsimplified
2 httpskhipucompaymentshow
3 httpskhipucompaymentend
4 httpskhipucomcerebro
5 httpskhipucomapp20automaton
6 httpskhipicomzendesksupport
La cuarta URL tiene un formulario de autenticacioacuten al cual se le realizoacute un ataque defuerza bruta con un diccionario simple de 2000000 de palabras sin embargo no selogroacute obtener ninguna credencial para acceder al sistema Se recomienda agregarun meacutetodo de proteccioacuten para prevenir ataques de fuerza bruta sobre el formulario
17 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
822Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
823 Emails detectados
No se encontraron direcciones de correo electroacutenico en el anaacutelisis
824URL detectadas
No se encontraron URL en el anaacutelisis
825 Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
826 Direcciones de correo detectados
No se encontraron direcciones de correo en el anaacutelisis
83 Anaacutelisis de Malware
Se hizo un anaacutelisis utilizando distintos motores de antivirus lo que permite ladeteccioacuten de virus gusanos troyanos y todo tipo de malware que contengan losarchivos ipa y apk correspondiente a iOS y Android respectivamente En esteperiodo solo analizamos la apk de android debido a su cambio de versioacuten
Android
Motor Estado
Ad-Aware
AegisLab
AhnLab-V3
Alibaba
18 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
ALYac
Antiy-AVL
Arcabit
Avast
Avast Mobile Security
AVG
Avira
AVware
Baidu
BitDefender
Bkav
CAT-QuickHeal
ClamAV
CMC
Comodo
Cyren
Emsisoft
eScan
ESET-NOD32
19 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
F-Prot
F-Secure
Fortinet
GData
Ikarus
Jiangmin
K7AntiVirus
K7GW
Kaspersky
Kingsoft
Malwarebytes
MAX
McAfee
McAfee-GW-Edition
Microsoft
NANO-Antivirus
nProtect
Panda
Qihoo-360
20 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
Rising
Sophos AV
SUPERAntiSpyware
Symantec
Symantec Mobile Insight
Tencent
TheHacker
TrendMicro
TrendMicro-HouseCall
Trustlook
VBA32
VIPRE
ViRobot
Webroot
WhiteArmor
Yandex
Zillya
ZoneAlarm
Zoner
21 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
9 Vulnerabilidades declaradas
A continuacioacuten se listan las vulnerabilidades declaradas por terceros que puedancomprometer la seguridad de la aplicacioacuten y khipucom
En este periodo de anaacutelisis se encontraron 2 vulnerabilidades que afectan a laimplementacioacuten de SSLTLS la primera de ellas es BEAST (CVE-2011-3389) estavulnerabilidad afecta a la versioacuten 1 de TLS esta vulnerabilidad se encuentramitigada al soportar la versioacuten 11 y 12 de TLS para corregirla correctamente sedebe desactivar el soporte para TLS 1
La segunda vulnerabilidad es LUCKY13 (CVE-2013-0169) esta afecta a lasimplementaciones de TLS que utilicen el modo de cifrado CBC (Cipher-Block-Chaining) por lo cual la mitigacioacuten es deshabilitar los cifrados que utilicen estosmeacutetodos y siempre tener la uacuteltima versioacuten estable de OpenSSL
Referencias
httpswwwopensslorgblogblog20160824sweet32
httpwwwisgrhulacuktls
httpsraymiiorgstutorialsStrong_SSL_Security_On_nginxhtml
httpscipherlist
22 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
10 Anexos
Archivo SHA256SUM
1 khipuandroid05032018cap 59cd2070041f5f17957cb0538bc011fbeda128c4bdbacd51eb63e9e0f1929703
14 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
SWEET32 httpscvemitreorgcgi-bincvenamecginame=CVE-2016-2183
LUCKY13 httpscvemitreorgcgi-bincvenamecginame=CVE-2013-0169
15 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
8 Ethical Hacking Mobile
81 Procesos automatizados y verificacioacuten manual
Desempaquetado
Decompilacioacuten
Anaacutelisis de integridad
Anaacutelisis de metadatos
Anaacutelisis de strings
Buacutesqueda con expresiones regulares
Anaacutelisis en VirusTotal (malware)
Anaacutelisis de Package Se analiza de forma estaacutetica el paquete compilado para losdistintos sistemas operativos En caso de Android se analiza el archivo APK y en elcaso de iOS (para iPhone) el archivo IPA Estos paquetes son sometidos a distintostipos de anaacutelisis que verifican su integridad y seguridad
Ingenieriacutea Reversa Durante este proceso las aplicaciones son decompiladas con elfin de realizar un anaacutelisis de coacutedigo Este tipo de anaacutelisis permite detectar malaspraacutecticas de desarrollo fugas de informacioacuten mediante el coacutedigo fuente comodirecciones IP usuarios claves Ademaacutes permite conocer internamente losdistintos componentes que utiliza la aplicacioacuten
16 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
82 Anaacutelisis APK
El resultado del anaacutelisis para la aplicacioacuten moacutevil es el siguiente
Nombre comkhipuandroid-6631apk
SHA25608f86f67118ed597440dd7306f250c0e61a4349f823b4b5aae5b533be17935b2
Tamantildeo 676 MB
Tipo Android
URLs Interesantes 6
IPs encontradas 0
Emails encontrados 0
821 URLs detectadas
1 httpskhipucompaymentsimplified
2 httpskhipucompaymentshow
3 httpskhipucompaymentend
4 httpskhipucomcerebro
5 httpskhipucomapp20automaton
6 httpskhipicomzendesksupport
La cuarta URL tiene un formulario de autenticacioacuten al cual se le realizoacute un ataque defuerza bruta con un diccionario simple de 2000000 de palabras sin embargo no selogroacute obtener ninguna credencial para acceder al sistema Se recomienda agregarun meacutetodo de proteccioacuten para prevenir ataques de fuerza bruta sobre el formulario
17 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
822Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
823 Emails detectados
No se encontraron direcciones de correo electroacutenico en el anaacutelisis
824URL detectadas
No se encontraron URL en el anaacutelisis
825 Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
826 Direcciones de correo detectados
No se encontraron direcciones de correo en el anaacutelisis
83 Anaacutelisis de Malware
Se hizo un anaacutelisis utilizando distintos motores de antivirus lo que permite ladeteccioacuten de virus gusanos troyanos y todo tipo de malware que contengan losarchivos ipa y apk correspondiente a iOS y Android respectivamente En esteperiodo solo analizamos la apk de android debido a su cambio de versioacuten
Android
Motor Estado
Ad-Aware
AegisLab
AhnLab-V3
Alibaba
18 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
ALYac
Antiy-AVL
Arcabit
Avast
Avast Mobile Security
AVG
Avira
AVware
Baidu
BitDefender
Bkav
CAT-QuickHeal
ClamAV
CMC
Comodo
Cyren
Emsisoft
eScan
ESET-NOD32
19 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
F-Prot
F-Secure
Fortinet
GData
Ikarus
Jiangmin
K7AntiVirus
K7GW
Kaspersky
Kingsoft
Malwarebytes
MAX
McAfee
McAfee-GW-Edition
Microsoft
NANO-Antivirus
nProtect
Panda
Qihoo-360
20 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
Rising
Sophos AV
SUPERAntiSpyware
Symantec
Symantec Mobile Insight
Tencent
TheHacker
TrendMicro
TrendMicro-HouseCall
Trustlook
VBA32
VIPRE
ViRobot
Webroot
WhiteArmor
Yandex
Zillya
ZoneAlarm
Zoner
21 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
9 Vulnerabilidades declaradas
A continuacioacuten se listan las vulnerabilidades declaradas por terceros que puedancomprometer la seguridad de la aplicacioacuten y khipucom
En este periodo de anaacutelisis se encontraron 2 vulnerabilidades que afectan a laimplementacioacuten de SSLTLS la primera de ellas es BEAST (CVE-2011-3389) estavulnerabilidad afecta a la versioacuten 1 de TLS esta vulnerabilidad se encuentramitigada al soportar la versioacuten 11 y 12 de TLS para corregirla correctamente sedebe desactivar el soporte para TLS 1
La segunda vulnerabilidad es LUCKY13 (CVE-2013-0169) esta afecta a lasimplementaciones de TLS que utilicen el modo de cifrado CBC (Cipher-Block-Chaining) por lo cual la mitigacioacuten es deshabilitar los cifrados que utilicen estosmeacutetodos y siempre tener la uacuteltima versioacuten estable de OpenSSL
Referencias
httpswwwopensslorgblogblog20160824sweet32
httpwwwisgrhulacuktls
httpsraymiiorgstutorialsStrong_SSL_Security_On_nginxhtml
httpscipherlist
22 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
10 Anexos
Archivo SHA256SUM
1 khipuandroid05032018cap 59cd2070041f5f17957cb0538bc011fbeda128c4bdbacd51eb63e9e0f1929703
15 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
8 Ethical Hacking Mobile
81 Procesos automatizados y verificacioacuten manual
Desempaquetado
Decompilacioacuten
Anaacutelisis de integridad
Anaacutelisis de metadatos
Anaacutelisis de strings
Buacutesqueda con expresiones regulares
Anaacutelisis en VirusTotal (malware)
Anaacutelisis de Package Se analiza de forma estaacutetica el paquete compilado para losdistintos sistemas operativos En caso de Android se analiza el archivo APK y en elcaso de iOS (para iPhone) el archivo IPA Estos paquetes son sometidos a distintostipos de anaacutelisis que verifican su integridad y seguridad
Ingenieriacutea Reversa Durante este proceso las aplicaciones son decompiladas con elfin de realizar un anaacutelisis de coacutedigo Este tipo de anaacutelisis permite detectar malaspraacutecticas de desarrollo fugas de informacioacuten mediante el coacutedigo fuente comodirecciones IP usuarios claves Ademaacutes permite conocer internamente losdistintos componentes que utiliza la aplicacioacuten
16 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
82 Anaacutelisis APK
El resultado del anaacutelisis para la aplicacioacuten moacutevil es el siguiente
Nombre comkhipuandroid-6631apk
SHA25608f86f67118ed597440dd7306f250c0e61a4349f823b4b5aae5b533be17935b2
Tamantildeo 676 MB
Tipo Android
URLs Interesantes 6
IPs encontradas 0
Emails encontrados 0
821 URLs detectadas
1 httpskhipucompaymentsimplified
2 httpskhipucompaymentshow
3 httpskhipucompaymentend
4 httpskhipucomcerebro
5 httpskhipucomapp20automaton
6 httpskhipicomzendesksupport
La cuarta URL tiene un formulario de autenticacioacuten al cual se le realizoacute un ataque defuerza bruta con un diccionario simple de 2000000 de palabras sin embargo no selogroacute obtener ninguna credencial para acceder al sistema Se recomienda agregarun meacutetodo de proteccioacuten para prevenir ataques de fuerza bruta sobre el formulario
17 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
822Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
823 Emails detectados
No se encontraron direcciones de correo electroacutenico en el anaacutelisis
824URL detectadas
No se encontraron URL en el anaacutelisis
825 Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
826 Direcciones de correo detectados
No se encontraron direcciones de correo en el anaacutelisis
83 Anaacutelisis de Malware
Se hizo un anaacutelisis utilizando distintos motores de antivirus lo que permite ladeteccioacuten de virus gusanos troyanos y todo tipo de malware que contengan losarchivos ipa y apk correspondiente a iOS y Android respectivamente En esteperiodo solo analizamos la apk de android debido a su cambio de versioacuten
Android
Motor Estado
Ad-Aware
AegisLab
AhnLab-V3
Alibaba
18 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
ALYac
Antiy-AVL
Arcabit
Avast
Avast Mobile Security
AVG
Avira
AVware
Baidu
BitDefender
Bkav
CAT-QuickHeal
ClamAV
CMC
Comodo
Cyren
Emsisoft
eScan
ESET-NOD32
19 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
F-Prot
F-Secure
Fortinet
GData
Ikarus
Jiangmin
K7AntiVirus
K7GW
Kaspersky
Kingsoft
Malwarebytes
MAX
McAfee
McAfee-GW-Edition
Microsoft
NANO-Antivirus
nProtect
Panda
Qihoo-360
20 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
Rising
Sophos AV
SUPERAntiSpyware
Symantec
Symantec Mobile Insight
Tencent
TheHacker
TrendMicro
TrendMicro-HouseCall
Trustlook
VBA32
VIPRE
ViRobot
Webroot
WhiteArmor
Yandex
Zillya
ZoneAlarm
Zoner
21 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
9 Vulnerabilidades declaradas
A continuacioacuten se listan las vulnerabilidades declaradas por terceros que puedancomprometer la seguridad de la aplicacioacuten y khipucom
En este periodo de anaacutelisis se encontraron 2 vulnerabilidades que afectan a laimplementacioacuten de SSLTLS la primera de ellas es BEAST (CVE-2011-3389) estavulnerabilidad afecta a la versioacuten 1 de TLS esta vulnerabilidad se encuentramitigada al soportar la versioacuten 11 y 12 de TLS para corregirla correctamente sedebe desactivar el soporte para TLS 1
La segunda vulnerabilidad es LUCKY13 (CVE-2013-0169) esta afecta a lasimplementaciones de TLS que utilicen el modo de cifrado CBC (Cipher-Block-Chaining) por lo cual la mitigacioacuten es deshabilitar los cifrados que utilicen estosmeacutetodos y siempre tener la uacuteltima versioacuten estable de OpenSSL
Referencias
httpswwwopensslorgblogblog20160824sweet32
httpwwwisgrhulacuktls
httpsraymiiorgstutorialsStrong_SSL_Security_On_nginxhtml
httpscipherlist
22 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
10 Anexos
Archivo SHA256SUM
1 khipuandroid05032018cap 59cd2070041f5f17957cb0538bc011fbeda128c4bdbacd51eb63e9e0f1929703
16 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
82 Anaacutelisis APK
El resultado del anaacutelisis para la aplicacioacuten moacutevil es el siguiente
Nombre comkhipuandroid-6631apk
SHA25608f86f67118ed597440dd7306f250c0e61a4349f823b4b5aae5b533be17935b2
Tamantildeo 676 MB
Tipo Android
URLs Interesantes 6
IPs encontradas 0
Emails encontrados 0
821 URLs detectadas
1 httpskhipucompaymentsimplified
2 httpskhipucompaymentshow
3 httpskhipucompaymentend
4 httpskhipucomcerebro
5 httpskhipucomapp20automaton
6 httpskhipicomzendesksupport
La cuarta URL tiene un formulario de autenticacioacuten al cual se le realizoacute un ataque defuerza bruta con un diccionario simple de 2000000 de palabras sin embargo no selogroacute obtener ninguna credencial para acceder al sistema Se recomienda agregarun meacutetodo de proteccioacuten para prevenir ataques de fuerza bruta sobre el formulario
17 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
822Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
823 Emails detectados
No se encontraron direcciones de correo electroacutenico en el anaacutelisis
824URL detectadas
No se encontraron URL en el anaacutelisis
825 Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
826 Direcciones de correo detectados
No se encontraron direcciones de correo en el anaacutelisis
83 Anaacutelisis de Malware
Se hizo un anaacutelisis utilizando distintos motores de antivirus lo que permite ladeteccioacuten de virus gusanos troyanos y todo tipo de malware que contengan losarchivos ipa y apk correspondiente a iOS y Android respectivamente En esteperiodo solo analizamos la apk de android debido a su cambio de versioacuten
Android
Motor Estado
Ad-Aware
AegisLab
AhnLab-V3
Alibaba
18 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
ALYac
Antiy-AVL
Arcabit
Avast
Avast Mobile Security
AVG
Avira
AVware
Baidu
BitDefender
Bkav
CAT-QuickHeal
ClamAV
CMC
Comodo
Cyren
Emsisoft
eScan
ESET-NOD32
19 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
F-Prot
F-Secure
Fortinet
GData
Ikarus
Jiangmin
K7AntiVirus
K7GW
Kaspersky
Kingsoft
Malwarebytes
MAX
McAfee
McAfee-GW-Edition
Microsoft
NANO-Antivirus
nProtect
Panda
Qihoo-360
20 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
Rising
Sophos AV
SUPERAntiSpyware
Symantec
Symantec Mobile Insight
Tencent
TheHacker
TrendMicro
TrendMicro-HouseCall
Trustlook
VBA32
VIPRE
ViRobot
Webroot
WhiteArmor
Yandex
Zillya
ZoneAlarm
Zoner
21 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
9 Vulnerabilidades declaradas
A continuacioacuten se listan las vulnerabilidades declaradas por terceros que puedancomprometer la seguridad de la aplicacioacuten y khipucom
En este periodo de anaacutelisis se encontraron 2 vulnerabilidades que afectan a laimplementacioacuten de SSLTLS la primera de ellas es BEAST (CVE-2011-3389) estavulnerabilidad afecta a la versioacuten 1 de TLS esta vulnerabilidad se encuentramitigada al soportar la versioacuten 11 y 12 de TLS para corregirla correctamente sedebe desactivar el soporte para TLS 1
La segunda vulnerabilidad es LUCKY13 (CVE-2013-0169) esta afecta a lasimplementaciones de TLS que utilicen el modo de cifrado CBC (Cipher-Block-Chaining) por lo cual la mitigacioacuten es deshabilitar los cifrados que utilicen estosmeacutetodos y siempre tener la uacuteltima versioacuten estable de OpenSSL
Referencias
httpswwwopensslorgblogblog20160824sweet32
httpwwwisgrhulacuktls
httpsraymiiorgstutorialsStrong_SSL_Security_On_nginxhtml
httpscipherlist
22 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
10 Anexos
Archivo SHA256SUM
1 khipuandroid05032018cap 59cd2070041f5f17957cb0538bc011fbeda128c4bdbacd51eb63e9e0f1929703
17 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
822Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
823 Emails detectados
No se encontraron direcciones de correo electroacutenico en el anaacutelisis
824URL detectadas
No se encontraron URL en el anaacutelisis
825 Direcciones IPs detectadas
No se encontraron direcciones IP en el anaacutelisis
826 Direcciones de correo detectados
No se encontraron direcciones de correo en el anaacutelisis
83 Anaacutelisis de Malware
Se hizo un anaacutelisis utilizando distintos motores de antivirus lo que permite ladeteccioacuten de virus gusanos troyanos y todo tipo de malware que contengan losarchivos ipa y apk correspondiente a iOS y Android respectivamente En esteperiodo solo analizamos la apk de android debido a su cambio de versioacuten
Android
Motor Estado
Ad-Aware
AegisLab
AhnLab-V3
Alibaba
18 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
ALYac
Antiy-AVL
Arcabit
Avast
Avast Mobile Security
AVG
Avira
AVware
Baidu
BitDefender
Bkav
CAT-QuickHeal
ClamAV
CMC
Comodo
Cyren
Emsisoft
eScan
ESET-NOD32
19 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
F-Prot
F-Secure
Fortinet
GData
Ikarus
Jiangmin
K7AntiVirus
K7GW
Kaspersky
Kingsoft
Malwarebytes
MAX
McAfee
McAfee-GW-Edition
Microsoft
NANO-Antivirus
nProtect
Panda
Qihoo-360
20 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
Rising
Sophos AV
SUPERAntiSpyware
Symantec
Symantec Mobile Insight
Tencent
TheHacker
TrendMicro
TrendMicro-HouseCall
Trustlook
VBA32
VIPRE
ViRobot
Webroot
WhiteArmor
Yandex
Zillya
ZoneAlarm
Zoner
21 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
9 Vulnerabilidades declaradas
A continuacioacuten se listan las vulnerabilidades declaradas por terceros que puedancomprometer la seguridad de la aplicacioacuten y khipucom
En este periodo de anaacutelisis se encontraron 2 vulnerabilidades que afectan a laimplementacioacuten de SSLTLS la primera de ellas es BEAST (CVE-2011-3389) estavulnerabilidad afecta a la versioacuten 1 de TLS esta vulnerabilidad se encuentramitigada al soportar la versioacuten 11 y 12 de TLS para corregirla correctamente sedebe desactivar el soporte para TLS 1
La segunda vulnerabilidad es LUCKY13 (CVE-2013-0169) esta afecta a lasimplementaciones de TLS que utilicen el modo de cifrado CBC (Cipher-Block-Chaining) por lo cual la mitigacioacuten es deshabilitar los cifrados que utilicen estosmeacutetodos y siempre tener la uacuteltima versioacuten estable de OpenSSL
Referencias
httpswwwopensslorgblogblog20160824sweet32
httpwwwisgrhulacuktls
httpsraymiiorgstutorialsStrong_SSL_Security_On_nginxhtml
httpscipherlist
22 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
10 Anexos
Archivo SHA256SUM
1 khipuandroid05032018cap 59cd2070041f5f17957cb0538bc011fbeda128c4bdbacd51eb63e9e0f1929703
18 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
ALYac
Antiy-AVL
Arcabit
Avast
Avast Mobile Security
AVG
Avira
AVware
Baidu
BitDefender
Bkav
CAT-QuickHeal
ClamAV
CMC
Comodo
Cyren
Emsisoft
eScan
ESET-NOD32
19 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
F-Prot
F-Secure
Fortinet
GData
Ikarus
Jiangmin
K7AntiVirus
K7GW
Kaspersky
Kingsoft
Malwarebytes
MAX
McAfee
McAfee-GW-Edition
Microsoft
NANO-Antivirus
nProtect
Panda
Qihoo-360
20 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
Rising
Sophos AV
SUPERAntiSpyware
Symantec
Symantec Mobile Insight
Tencent
TheHacker
TrendMicro
TrendMicro-HouseCall
Trustlook
VBA32
VIPRE
ViRobot
Webroot
WhiteArmor
Yandex
Zillya
ZoneAlarm
Zoner
21 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
9 Vulnerabilidades declaradas
A continuacioacuten se listan las vulnerabilidades declaradas por terceros que puedancomprometer la seguridad de la aplicacioacuten y khipucom
En este periodo de anaacutelisis se encontraron 2 vulnerabilidades que afectan a laimplementacioacuten de SSLTLS la primera de ellas es BEAST (CVE-2011-3389) estavulnerabilidad afecta a la versioacuten 1 de TLS esta vulnerabilidad se encuentramitigada al soportar la versioacuten 11 y 12 de TLS para corregirla correctamente sedebe desactivar el soporte para TLS 1
La segunda vulnerabilidad es LUCKY13 (CVE-2013-0169) esta afecta a lasimplementaciones de TLS que utilicen el modo de cifrado CBC (Cipher-Block-Chaining) por lo cual la mitigacioacuten es deshabilitar los cifrados que utilicen estosmeacutetodos y siempre tener la uacuteltima versioacuten estable de OpenSSL
Referencias
httpswwwopensslorgblogblog20160824sweet32
httpwwwisgrhulacuktls
httpsraymiiorgstutorialsStrong_SSL_Security_On_nginxhtml
httpscipherlist
22 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
10 Anexos
Archivo SHA256SUM
1 khipuandroid05032018cap 59cd2070041f5f17957cb0538bc011fbeda128c4bdbacd51eb63e9e0f1929703
19 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
F-Prot
F-Secure
Fortinet
GData
Ikarus
Jiangmin
K7AntiVirus
K7GW
Kaspersky
Kingsoft
Malwarebytes
MAX
McAfee
McAfee-GW-Edition
Microsoft
NANO-Antivirus
nProtect
Panda
Qihoo-360
20 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
Rising
Sophos AV
SUPERAntiSpyware
Symantec
Symantec Mobile Insight
Tencent
TheHacker
TrendMicro
TrendMicro-HouseCall
Trustlook
VBA32
VIPRE
ViRobot
Webroot
WhiteArmor
Yandex
Zillya
ZoneAlarm
Zoner
21 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
9 Vulnerabilidades declaradas
A continuacioacuten se listan las vulnerabilidades declaradas por terceros que puedancomprometer la seguridad de la aplicacioacuten y khipucom
En este periodo de anaacutelisis se encontraron 2 vulnerabilidades que afectan a laimplementacioacuten de SSLTLS la primera de ellas es BEAST (CVE-2011-3389) estavulnerabilidad afecta a la versioacuten 1 de TLS esta vulnerabilidad se encuentramitigada al soportar la versioacuten 11 y 12 de TLS para corregirla correctamente sedebe desactivar el soporte para TLS 1
La segunda vulnerabilidad es LUCKY13 (CVE-2013-0169) esta afecta a lasimplementaciones de TLS que utilicen el modo de cifrado CBC (Cipher-Block-Chaining) por lo cual la mitigacioacuten es deshabilitar los cifrados que utilicen estosmeacutetodos y siempre tener la uacuteltima versioacuten estable de OpenSSL
Referencias
httpswwwopensslorgblogblog20160824sweet32
httpwwwisgrhulacuktls
httpsraymiiorgstutorialsStrong_SSL_Security_On_nginxhtml
httpscipherlist
22 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
10 Anexos
Archivo SHA256SUM
1 khipuandroid05032018cap 59cd2070041f5f17957cb0538bc011fbeda128c4bdbacd51eb63e9e0f1929703
20 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
Rising
Sophos AV
SUPERAntiSpyware
Symantec
Symantec Mobile Insight
Tencent
TheHacker
TrendMicro
TrendMicro-HouseCall
Trustlook
VBA32
VIPRE
ViRobot
Webroot
WhiteArmor
Yandex
Zillya
ZoneAlarm
Zoner
21 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
9 Vulnerabilidades declaradas
A continuacioacuten se listan las vulnerabilidades declaradas por terceros que puedancomprometer la seguridad de la aplicacioacuten y khipucom
En este periodo de anaacutelisis se encontraron 2 vulnerabilidades que afectan a laimplementacioacuten de SSLTLS la primera de ellas es BEAST (CVE-2011-3389) estavulnerabilidad afecta a la versioacuten 1 de TLS esta vulnerabilidad se encuentramitigada al soportar la versioacuten 11 y 12 de TLS para corregirla correctamente sedebe desactivar el soporte para TLS 1
La segunda vulnerabilidad es LUCKY13 (CVE-2013-0169) esta afecta a lasimplementaciones de TLS que utilicen el modo de cifrado CBC (Cipher-Block-Chaining) por lo cual la mitigacioacuten es deshabilitar los cifrados que utilicen estosmeacutetodos y siempre tener la uacuteltima versioacuten estable de OpenSSL
Referencias
httpswwwopensslorgblogblog20160824sweet32
httpwwwisgrhulacuktls
httpsraymiiorgstutorialsStrong_SSL_Security_On_nginxhtml
httpscipherlist
22 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
10 Anexos
Archivo SHA256SUM
1 khipuandroid05032018cap 59cd2070041f5f17957cb0538bc011fbeda128c4bdbacd51eb63e9e0f1929703
21 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
9 Vulnerabilidades declaradas
A continuacioacuten se listan las vulnerabilidades declaradas por terceros que puedancomprometer la seguridad de la aplicacioacuten y khipucom
En este periodo de anaacutelisis se encontraron 2 vulnerabilidades que afectan a laimplementacioacuten de SSLTLS la primera de ellas es BEAST (CVE-2011-3389) estavulnerabilidad afecta a la versioacuten 1 de TLS esta vulnerabilidad se encuentramitigada al soportar la versioacuten 11 y 12 de TLS para corregirla correctamente sedebe desactivar el soporte para TLS 1
La segunda vulnerabilidad es LUCKY13 (CVE-2013-0169) esta afecta a lasimplementaciones de TLS que utilicen el modo de cifrado CBC (Cipher-Block-Chaining) por lo cual la mitigacioacuten es deshabilitar los cifrados que utilicen estosmeacutetodos y siempre tener la uacuteltima versioacuten estable de OpenSSL
Referencias
httpswwwopensslorgblogblog20160824sweet32
httpwwwisgrhulacuktls
httpsraymiiorgstutorialsStrong_SSL_Security_On_nginxhtml
httpscipherlist
22 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
10 Anexos
Archivo SHA256SUM
1 khipuandroid05032018cap 59cd2070041f5f17957cb0538bc011fbeda128c4bdbacd51eb63e9e0f1929703
22 de 22
INFORME TEacuteCNICO
ANAacuteLISIS DE TRAacuteFICO DE DATOSAPLICACIOacuteN khipu
httpsnivel4com
+56 2 2248 1368
Avd Providencia1208
10 Anexos
Archivo SHA256SUM
1 khipuandroid05032018cap 59cd2070041f5f17957cb0538bc011fbeda128c4bdbacd51eb63e9e0f1929703